ثغرة أمنية في محفظة trust على نظام ال IOS
يقوم المعهد الوطني للمعايير والتكنولوجيا بتحليل إصدار iOS من تطبيق Binance Trust Wallet بحثًا عن ثغرة أمنية يمكن استخدامها لسرقة الأموال من محافظ العملات الرقمية.
تقوم وكالة تابعة لوزارة التجارة الأمريكية (DOC) بتحليل تطبيق Binance Trust Wallet بحثًا عن ثغرة أمنية قد تسمح للمهاجم بسرقة الأموال من محافظ العملات الرقمية.
وفقًا للمعهد الوطني للمعايير والتكنولوجيا (NIST)، وكالة DOC المكلفة بتعزيز الابتكار الأمريكي والقدرة التنافسية الصناعية، فإن إصدارًا محددًا من تطبيق Binance Trust Wallet “يسيء استخدام مكتبة trezor-crypto” لإنشاء كلمات تذكيرية يمكن التحقق منها. فقط في مصدر الانتروبيا.
مصدر الإنتروبيا هو موقع فعلي يتم من خلاله إنشاء البيانات. وأشار NIST إلى أنه تم استغلال ثغرة أمنية مماثلة في يوليو 2023، مما أدى إلى خسائر اقتصادية. وأوضح:
يمكن للمهاجم إنشاء أساليب تقوية بشكل منهجي لكل طابع زمني ضمن إطار زمني قابل للتطبيق، وربطها بعناوين محفظة محددة من أجل سرقة الأموال من تلك المحافظ.
فقًا لـ CVE، وهو برنامج ترعاه وزارة الأمن الداخلي الأمريكية (DHS)، بدأت SECBIT Labs تحقيقاتها في تطبيق Binance Trust Wallet لنظام التشغيل iOS بعد اختراق العديد من محافظ Ether. قام الباحثون بتتبع نقطة ضعف الجيل القديم من المحفظة في إصدار منصة iOS من Trust Wallet اعتبارًا من عام 2018 وربطها بالسرقات الكبيرة في 12 يوليو 2023.
ووجدت أن تطبيق Trust Wallet لنظام التشغيل iOS يستخدم كودًا مفتوح المصدر لإنشاء محافظ عملات مشفرة جديدة باستخدام وظائف غير آمنة في “مكتبة Trezor-crypto” التي لم تكن مخصصة للإنتاج. وبينما أكدوا وجود المحافظ الضعيفة، زعموا تورطها في سرقات الحليب الحزينة.
عند الانتهاء من التحقيق، ستخصص NIST درجة أساسية لثغرة التطبيق تتراوح من 0 إلى 10، اعتمادًا على مدى خطورتها.