Trust Wallet, nhà cung cấp ví tiền điện tử hàng đầu, đã tiết lộ công khai các chi tiết liên quan đến lỗ hổng WebAssugging (WASM) đã ảnh hưởng đến thư viện mã nguồn mở của họ, Wallet Core. Lỗ hổng ảnh hưởng cụ thể đến các ví được tạo trong Tiện ích mở rộng trình duyệt của Trust Wallet từ ngày 14 đến ngày 23 tháng 11 năm 2022, đã được phát hiện và vá trong vòng một ngày kể từ khi phát hiện ra vào tháng 11 năm 2022.
Lỗ hổng bắt nguồn từ mô-đun phụ trợ WebAssugging (WASM), nằm trong kho lưu trữ mã nguồn mở Wallet Core và ảnh hưởng đến các ví mới được tạo bởi các phiên bản 0.0.172 và 0.0.182 của Tiện ích mở rộng trình duyệt của Trust Wallet. Vấn đề được đưa ra ánh sáng khi một nhà nghiên cứu bảo mật báo cáo lỗ hổng cho Trust Wallet thông qua chương trình tiền thưởng lỗi của họ.
Bất chấp phản ứng nhanh chóng của Trust Wallet trong việc vá lỗ hổng, hai vụ khai thác riêng biệt đã xảy ra trong một khoảng thời gian ngắn, dẫn đến tổng thiệt hại khoảng 170.000 USD vào thời điểm xảy ra vụ tấn công. Trong nỗ lực giải quyết tình hình và duy trì tính minh bạch, Trust Wallet đã thông báo rằng họ sẽ hoàn trả những tổn thất đủ điều kiện mà người dùng phải gánh chịu do lỗ hổng bảo mật. Nhà cung cấp ví cũng đã kêu gọi những người dùng bị ảnh hưởng chuyển số dư còn lại khoảng 88.000 USD khỏi các địa chỉ dễ bị tấn công càng sớm càng tốt.
Trong một thông báo gần đây, Trust Wallet đã phác thảo một loạt các hành động được đề xuất cho người dùng. Địa chỉ ví không bị ảnh hưởng bởi lỗ hổng nếu chúng được tạo bằng ứng dụng di động của Trust Wallet, được nhập vào Tiện ích mở rộng trình duyệt hoặc được tạo bằng Tiện ích mở rộng trình duyệt trước ngày 14 tháng 11 hoặc sau ngày 23 tháng 11 năm 2022. Người dùng bị ảnh hưởng sẽ nhận được thông báo trong Tiện ích mở rộng trình duyệt và họ nên tạo một địa chỉ ví mới, chuyển tài sản của họ sang và ngừng sử dụng các địa chỉ dễ bị tấn công. Công ty đã cung cấp hướng dẫn chuyển tài sản để hỗ trợ người dùng trong quá trình này.
Trust Wallet cũng đã tư vấn cho các nhà phát triển ví đã sử dụng thư viện Wallet Core để phát triển ví Tiện ích mở rộng trình duyệt vào năm 2022 để đảm bảo rằng họ đã triển khai phiên bản Wallet Core mới nhất, từ đó ngăn lỗ hổng ảnh hưởng đến ứng dụng và người dùng của họ.
Công ty bày tỏ lòng biết ơn đối với nhà nghiên cứu bảo mật, người ban đầu đã báo cáo lỗ hổng, cũng như Nhóm Ledger và nhóm Bảo mật Binance, những người đã cung cấp thông tin chi tiết và hỗ trợ vô giá trong toàn bộ quá trình.
Trả lời về lý do tại sao công ty trì hoãn tiết lộ lỗ hổng công khai, Trust Wallet giải thích rằng việc bảo mật ví của người dùng và ngăn ngừa tổn thất là ưu tiên hàng đầu. Việc tiết lộ công khai sớm có thể khiến người dùng có nguy cơ bị hack ngay lập tức và tổn thất lớn hơn. Công ty tập trung vào việc vá lỗ hổng và giúp người dùng chuyển tiền của họ mà không thu hút sự chú ý của những kẻ xấu.
Reference(s)
https://phish.news/cybercrime/wasm-vulnerability-in-trust-wallet-leads-to-170000-loss/
