Национальный институт стандартов и технологий США проводит исследование приложения Trust Wallet, принадлежащего Binance, для iOS с целью выявления уязвимостей.
По описанию, программное обеспечение кошелька неправильно использует библиотеку trezor-crypto, что приводит к тому, что единственным источником энтропии для генерации мнемонических фраз становится время устройства.
Эта ошибка открывает возможность для эксплойтов Trust Wallet, позволяя злоумышленнику создавать мнемоники для каждой временной метки и связывать их с конкретными адресами для кражи средств.
Поданная некоммерческой организацией MITRE Corporation заявка находится в статусе ожидающего анализа. К ней приложены ссылки на соответствующие исследования уязвимостей, проведенные специалистами проектов Milk Sad и SECBIT Labs, результаты которых были опубликованы в январе. Эксперты обнаружили по меньшей мере 6500 уязвимых кошельков, а реализованные эксплойты привели к потере почти 33 BTC только в трех крупнейших инцидентах в июле 2023 года.
Binance приобрела провайдера Trust Wallet летом 2018 года. В начале своего существования мобильное приложение специализировалось преимущественно на Ethereum-активах, и лишь к концу того же года команда добавила поддержку биткоина. Первой десктопной версией кошелька стало решение для устройств на macOS в 2019 году.