Un'agenzia del Department of Commerce degli Stati Uniti sta analizzando l'applicazione Binance Trust Wallet per individuare una vulnerabilità che potrebbe consentire a un aggressore di rubare fondi dai wallet cripto.
Secondo il National Institute of Standards and Technology (NIST) — l'agenzia incaricata di promuovere l'innovazione e la competitività industriale degli Stati Uniti — una versione specifica dell'app Binance Trust Wallet "utilizza in modo improprio la libreria trezor-crypto" per generare parole mnemoniche che possono essere verificate solo presso la fonte di entropia.
"Un aggressore può generare sistematicamente mnemoniche per ogni timestamp all'interno di un intervallo di tempo applicabile e collegarle a indirizzi wallet specifici al fine di rubare fondi da tali wallet".
Le informazioni sono state rese pubbliche l'8 Febbraio e attualmente sono in attesa di analisi per determinare la portata reale della vulnerabilità.
Secondo il CVE — un programma sponsorizzato dal Department of Homeland Security degli Stati Uniti — Secbit Labs ha iniziato a indagare sull'app Binance Trust Wallet per iOS dopo la violazione di numerosi wallet Ether (ETH). I ricercatori hanno rintracciato una debolezza nella vecchia generazione di wallet presente nella versione di Trust Wallet per piattaforma iOS del 2018 e l'hanno collegata ai grandi furti del 12 Luglio 2023.
Binance non ha risposto alla richiesta di commento di Cointelegraph. Tuttavia, un'indagine indipendente di Milk Sad ha trovato almeno 6.572 mnemoniche di wallet uniche a rischio di perdita fondi.
Ha scoperto che l'app Trust Wallet per iOS utilizzava un codice open-source per generare nuovi wallet cripto utilizzando funzioni non sicure nella "libreria trezor-crypto" che non erano destinate alla produzione.
Al termine dell'indagine, il NIST assegnerà un punteggio di base alla vulnerabilità dell'app che va da 0 a 10, a seconda della sua gravità.