Екипът на Trust Wallet се нуждаеше от няколко дни, за да поправи уязвимостта, която излага на риск средствата на потребителите, и да публикува необходимата поправка. Но популярният крипто портфейл не призна публично за проблема в продължение на месеци и дори сега казва, че засегнатите потребители ще трябва да преминат към нов адрес на портфейла, за да защитят средствата си.
В събота Trust Wallet обяви, че е отстранила уязвимостта, която засяга потребителите, създали цифров портфейл с помощта на разширението за браузър на проекта между 13 ноември и 23 ноември миналата година. От поправката се възползват само портфейлите в браузъра, създадени след 23 ноември.
„За да се освободят от уязвимостта, потребителите трябва да мигрират активите си от засегнатите адреси на портфейли към нови, незасегнати адреси на портфейли“, заяви Trust Wallet в публикация в блога си. „При тези обстоятелства предприехме всички възможни мерки, за да информираме потребителите и да им помогнем да намалят риска от потенциални атаки.“
Проектът за портфейл, подкрепен от Binance, заяви, че първоначално е бил предупреден за проблема от изследовател по сигурността миналата есен, който е сигнализирал за проблем в неговата библиотека с отворен код, който излага частните ключове на риск за сигурността.
Въпреки че повечето от уязвимите средства на потребителите са били защитени, Trust Wallet казва, че 88 300 долара от средствата все още са изложени на риск. Trust Wallet призна, че няколко потребители са станали жертва на уязвимостта, като обеща в Twitter да им предложи възстановяване на средствата.
„Въпреки нашите усилия да сведем загубите до минимум, ние проактивно идентифицирахме 2 вероятни експлойта с обща загуба от 170 хил. долара“, заяви проектът в Twitter. „За да постъпим правилно спрямо потребителите, създадохме процес за възстановяване на средства на засегнатите потребители, за да ги компенсираме.“
7/10 Въпреки усилията ни да сведем загубите до минимум, проактивно идентифицирахме 2 вероятни експлойта с обща загуба от 170 хил. долара. За да постъпим коректно към потребителите, създадохме процес на възстановяване на разходите на засегнатите потребители, за да ги компенсираме.
Вижте процеса на предявяване на претенции тук: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) April 22 2023
След като уязвимостта е била отстранена – предотвратявайки въздействието върху нови портфейли – екипът на проекта казва, че е обсъждал дали да разкрие уязвимостта публично.
„Основната ни цел беше да помогнем на потребителите да запазят възможно най-голяма част от активите си и да предотвратят потенциални загуби“, се казва в съобщението. „Вярвахме, че поверителната, индивидуална комуникация с потребителите ще им позволи да предприемат необходимите действия, без да жертват изключителната собственост на активите си.“
Проектът заяви, че е достигнал до засегнатите потребители чрез многобройни кръгове от мобилни push известия и предупреждения в приложението, които се появяват на всяка минута. Съобщенията са били придружени от ясни инструкции как потребителите могат да прехвърлят активите си, се казва в съобщението.
Trust Wallet не само е предложил на потребителите поддръжка, но проектът също така е предложил да възстанови таксите за бензин на потребителите, които прехвърлят средствата си в некомпрометирани портфейли. Като цяло Trust Wallet възстанови около 23,6 БНБ от таксите за газ, или около 7 700 USD.
Освен това Trust Wallet се обърна към Binance и осигури помощта на борсата за достигане до потребителите, които са имали средства, които могат да бъдат проследени до борсата. Проектът подчерта, че не е споделял с борсата „информация, която може да бъде идентифицирана лично“.
Проектът благодари на екипа по сигурността на Binance за „решаването на проблема, извършването на оценка на риска, ескалирането на въпроса, извършването на анализ на въздействието и комуникацията с изследователя по сигурността.“
Trust Wallet заяви, че е подготвил публично изявление относно уязвимостта през ноември миналата година, но е решил да изчака, преценявайки стойността на информирането на обществеността спрямо възможността да се подчертае дупка в сигурността, която все още може да бъде използвана.
В крайна сметка датата на публичното предупреждение ще бъде изместена от февруари на април.
„Преценихме, че след оповестяването на информацията лош играч би могъл да се възползва от останалите портфейли и да придобие собствеността върху останалите средства“, заяви тя. „Поради това дадохме на засегнатите потребители повече време, за да подсигурят средствата си, вместо да правим […] преждевременно оповестяване.“
