Il crypto wallet Trust Wallet ha reso pubblica una vulnerabilità di sicurezza che ha causato ad alcuni utenti perdite per quasi 170.000 $. Secondo l'azienda, la vulnerabilità è stata risolta con una patch.

Trust Wallet ha scoperto il problema grazie al suo programma di bug bounty. Nel Novembre 2022 un esperto di sicurezza ha segnalato una vulnerabilità WebAssembly nella libreria open-source Wallet Core. I nuovi indirizzi wallet generati "tra il 14 e il 23 Novembre 2022 da Browser Extension contengono questa vulnerabilità", ha dichiarato la società in un comunicato, aggiungendo che tutti gli indirizzi creati prima e dopo tali date sono sicuri.

1/10 Trust Wallet è costruito sulla sicurezza e sulla fiducia. Per questo motivo stiamo condividendo una vulnerabilità che riguarda i nuovi indirizzi creati tra il 14 e il 23 Novembre 22 utilizzando la Browser Extension.

Il problema è stato risolto. La maggior parte dei fondi a rischio è stata messa in sicurezza. Gli utenti interessati dovrebbero adottare le misure indicate:
➡️https://t.co/X9AEfqWW87

— Trust Wallet (@TrustWallet) April 22, 2023

La violazione ha portato a due exploit che hanno causato una perdita totale di quasi 170.000 $. Secondo un report post-mortem, rimangono circa 500 indirizzi vulnerabili, con un saldo di 88.000 $. Agli utenti interessati verrà offerto un rimborso e l'assistenza per le spese di trasferimento dei fondi. Secondo Trust Wallet:

"Vogliamo assicurare gli utenti che rimborseremo le perdite ammissibili dovute agli hack e abbiamo creato un processo di rimborso per gli utenti colpiti. Inoltre, abbiamo invitato gli utenti interessati [a] spostare il saldo rimanente di circa 88.000 USD il prima possibile".

Gli utenti che hanno riscontrato movimenti anomali di fondi a fine Dicembre 2022 e a fine Marzo 2023 potrebbero essere tra quelli colpiti dagli exploit.

La società ha invitato i clienti interessati a creare un nuovo wallet e a trasferire i propri fondi. Gli utenti con indirizzi vulnerabili saranno avvisati tramite l'estensione del browser Trust Wallet, ha dichiarato la società. Gli sviluppatori che hanno utilizzato la libreria Wallet Core nel 2022 dovrebbero implementare l'ultima versione. Gli indirizzi wallet colpiti di Binance sono stati avvisati in precedenza attraverso il crypto exchange.

Da Dicembre 2022, un altro exploit recentemente svelato ha prosciugato quasi 11 milioni di dollari in token non fungibili e criptovalute da vari indirizzi su 11 blockchain. Inizialmente l'attacco era stato attribuito a un exploit del wallet MetaMask, ma la società ha poi smentito la notizia.