Trust Wallet отчитался об устранении эксплойтов, повлёкших убытки в размере $170 тыс

Уязвимость обнаружили ещё в конце ноября 2022 года. Trust Wallet узнала о ней от добровольного исследователя ошибок в безопасности, используя официальную программу вознаграждения за обнаружение ошибок. Уязвимость основана на использовании бэкенд-модуля WebAssembly в репозитории Wallet Core.

WASM в WalletCore необходим для браузерного расширения Trust Wallet. Соответственно, все кошельки, сгенерированные через него 14-23 ноября прошлого года, столкнулись с этой уязвимостью. Служба поддержки оперативно отреагировала на сообщение, исправив эту уязвимость в течение примерно одних суток, так что все кошельки, которые были сгенерированы уже позднее, должны быть полностью благонадёжны.

Тем не менее, за то время, что ушло на исправление уязвимости, возникли 2 эксплойта. Это привело к убыткам в $170 000. Перемещение средств пришлось на декабрь 2022 и последнюю неделю марта 2023 года. Затронутых пользователей предупредили об инциденте, настоятельно порекомендовав отправить оставшиеся на кошельках средства в размере около $88 000 с скомпрометированных адресов на безопасные. Trust Wallet также заверяет, что возместит все убытки пострадавшим клиентам, поскольку стремится к прозрачности и защите пользователей. Для этого компания прибегла к помощи команд безопасности Ledger и Binance, а также создала механизм возвращения средств после проверки пользователя.

При этом Trust Wallet не спешила сообщать об инциденте публично, переждав практически полгода. Утверждается, что раннее публичное раскрытие уязвимости могло бы привести к новым взломам и ещё большим потерям, что звучит довольно странно, учитывая заявление компании, что уязвимость была исправлена в течение суток.