Команде Trust Wallet потребовалось несколько дней, чтобы исправить уязвимость, которая подвергала риску средства пользователей, и выпустить необходимое исправление. Но популярный крипто-кошелек не признавал публично проблему в течение нескольких месяцев и даже сейчас заявляет, что пострадавшим пользователям необходимо будет перейти на новый адрес кошелька, чтобы защитить свои средства.
В субботу Trust Wallet объявил об устранении уязвимости, затрагивающей пользователей, которые создали цифровой кошелек с помощью расширения браузера проекта в период с 13 по 23 ноября прошлого года. Это исправление касается только браузерных кошельков, созданных после 23 ноября.
«Чтобы быть свободными от уязвимости, пользователи должны перенести свои активы с затронутых адресов кошельков на новые, незатронутые адреса кошельков», — говорится в сообщении Trust Wallet. Сообщение блога. «В этих обстоятельствах мы предприняли все возможные меры для информирования пользователей и оказания им помощи в снижении риска потенциальных атак».
Проект кошелька, поддерживаемый Binance, заявил, что прошлой осенью он был предупрежден о проблеме исследователем безопасности, который отметил проблему в своей библиотеке с открытым исходным кодом, которая подвергала закрытые ключи риску безопасности.
Хотя большинство уязвимых средств пользователей были защищены, Trust Wallet сообщает, что средства в размере 88 300 долларов США все еще уязвимы. Trust Wallet признал, что несколько пользователей стали жертвами уязвимости, пообещав в Twitter предложить им возмещение.
«Несмотря на все наши усилия по минимизации потерь, мы заранее определили 2 вероятных эксплойта с общими потерями в размере 170 тысяч долларов», — говорится в сообщении проекта в Twitter. «Чтобы поступать правильно с пользователями, мы создали процесс возмещения для пострадавших пользователей, чтобы сделать их здоровыми».
7/10 Несмотря на все наши усилия по минимизации потерь, мы заранее определили 2 вероятных эксплойта с общими потерями в размере 170 000 долларов. Чтобы поступать правильно с пользователями, мы создали процесс возмещения для пострадавших пользователей, чтобы сделать их здоровыми.
См. процесс подачи заявки здесь: https://t.co/a7qLwJQuop
— Доверительный кошелек (@TrustWallet) 22 апреля 2023 г.
Как только уязвимость была устранена, что предотвратило воздействие на новые кошельки, команда проекта заявила, что обсудила, следует ли раскрывать уязвимость публично.
«Наша основная цель состояла в том, чтобы помочь пользователям сохранить как можно больше своих активов и предотвратить возможные потери», — говорится в сообщении. «Мы полагали, что конфиденциальное общение с пользователями один на один позволит пользователям предпринимать необходимые действия, не жертвуя единоличным владением своими активами».
Проект заявил, что обратился к пострадавшим пользователям с помощью нескольких раундов мобильных push-уведомлений и предупреждений в приложениях, которые появлялись каждую минуту. Сообщения сопровождались четкими инструкциями о том, как пользователи могут передавать свои активы.
Мало того, что Trust Wallet предлагал пользователям поддержку клиентов, проект также предлагал возместить плату за газ для пользователей, переводящих свои средства на нескомпрометированные кошельки. В общей сложности Trust Wallet возместил около 23,6 BNB комиссий за газ, или около 7700 долларов США.
Кроме того, Trust Wallet обратился к Binance и заручился помощью биржи в обращении к пользователям, у которых были средства, которые можно было отследить до биржи. В проекте подчеркивалось, что он не делиться «личной информацией» с биржей.
Проект поблагодарил команду безопасности Binance за «рассмотрение проблемы, проведение оценки рисков, эскалацию вопроса, проведение анализа последствий и общение с исследователем безопасности».
Trust Wallet заявил, что подготовил публичное заявление об уязвимости в ноябре прошлого года, но решил подождать, взвесив ценность информирования общественности и возможность выявления дыры в безопасности, которую все еще можно использовать.
Дата публичного предупреждения в конечном итоге будет перенесена с февраля на апрель.
«Мы посчитали, что как только раскрытие информации будет сделано, злоумышленник сможет воспользоваться оставшимися кошельками и завладеть оставшимися средствами», — говорится в сообщении. «Поэтому мы дали пострадавшим пользователям больше времени, чтобы защитить свои средства.[s] вместо того, чтобы сделать[…] преждевременное раскрытие».
Вознаграждение до $580 за регистрацию на Bybit!
Бонус до 4000$ за пополнение на Bitget!