炒股大本营(www.dzyb.cn)讯:曾获得币(bi)安创办人赵长鹏(peng)(CZ)亲自加持的Trust Wallet在今日发布公告披(pi)露,在去年11月,有一名安全研究人员(yuan)借由漏洞赏金计划,报告Trust Wallet开源库Wallet Core中存在Web Assembly(WASM)漏洞。
该公告提到,Trust Wallet浏览器扩充功能在(zai)Wallet Core中使用WASM,在去年11月14日至23日期(qi)间,通过浏览器扩充功(gong)能生成的新钱包地址存在此漏洞,不(bu)过Trust Wallet已迅速(su)修复漏洞,在这些日(ri)期之后生成的地(di)址都是安全的。
然而,Trust Wallet仍发现两个潜在漏(lou)洞,导致在攻击发生时,造(zao)成约17万美元损失。
对此,Trust Wallet承诺(nuo),将补偿因漏洞造成的骇(hai)客攻击损失,为受害(hai)用户建立补偿程序,该公告(gao)还呼吁受影响用户尽(jin)快转移所有易受攻击(ji)地址上剩余的约8.8万(wan)美元资金。
如何(he)检查是否受漏洞影响?
该公告提到,在以下(xia)情况下,用户的钱包地址不(bu)会受此漏洞影响:
只(zhi)使用Trust Wallet手(shou)机app
只将钱包地址汇入浏览器扩充(chong)功能
只是在(zai)2022年11月14日之前、或2022年11月23日之后使用浏览(lan)器扩充功能建立新钱(qian)包的用户
如(ru)果用户的钱包为易受攻击地址,用户(hu)将在浏览器扩充(chong)功能上看到警示通知,建议应创(chuang)建一个新钱包地址、移动资产,停止使(shi)用易受攻击地址,请(qing)避免使用不是用户自(zi)己所创建的钱包地址,以免被骗子利用(yong)。
另外,需注意的是(shi),在2022年12月(yue)下旬和2023年3月下旬发(fa)现钱包存在异常资金流动的用(yong)户,可能是遭受上述提(ti)及的两个潜在漏洞攻击的少数受害(hai)者之一,Trust Wallet将向每个受害者偿还资金,该团队有(you)所有受影响钱包的确切清单。
慢雾:漏洞致钱包私钥(yao)有被破解风险
慢雾创办(ban)人余弦发推提醒,如果用了Trust Wallet浏览器扩充功能,且(qie)在2022年11月14日至23日期间创建钱包,那么该钱包(bao)就存在风险,本质原(yuan)因是当时Trust Wallet浏览器扩充功能(neng)使用的MT19937伪随机(ji)数生成器,没有提供足够(gou)的随机性,导致私钥可以被破解,目前Trust Wallet已披露该风险,所(suo)幸损失小。
