Týmu společnosti Trust Wallet trvalo několik dní, než opravil zranitelnost, která ohrožovala finanční prostředky uživatelů, a vydal potřebnou opravu. Oblíbená kryptopeněženka však problém několik měsíců veřejně nepřiznala a i nyní tvrdí, že postižení uživatelé budou muset přejít na novou adresu peněženky, aby ochránili své prostředky.
V sobotu společnost Trust Wallet oznámila, že opravila zranitelnost, která má dopad na uživatele, kteří si vytvořili digitální peněženku pomocí rozšíření prohlížeče projektu mezi 13. a 23. listopadem loňského roku. Oprava se týká pouze peněženek v prohlížeči vytvořených po 23. listopadu.
„Aby se uživatelé zranitelnosti zbavili, musí svá aktiva z adres postižených peněženek migrovat na nové, nepostižené adresy peněženek,“ uvedla společnost Trust Wallet v příspěvku na blogu. „Za těchto okolností jsme podnikli veškerá možná opatření, abychom uživatele informovali a pomohli jim snížit riziko možných útoků.“
Projekt peněženky podporované společností Binance uvedl, že byl na problém původně upozorněn bezpečnostním výzkumníkem loni na podzim, který upozornil na problém v jeho open-source knihovně, který vystavoval soukromé klíče bezpečnostnímu riziku.
Ačkoli většina zranitelných prostředků uživatelů byla zabezpečena, Trust Wallet uvádí, že 88 300 dolarů prostředků je stále vystaveno riziku. Společnost Trust Wallet přiznala, že několik uživatelů se stalo obětí zranitelnosti, a na Twitteru přislíbila, že jim nabídne vrácení peněz.
„I přes naši snahu minimalizovat ztráty jsme proaktivně identifikovali 2 pravděpodobné exploity s celkovou ztrátou 170 tisíc dolarů,“ uvedl projekt na Twitteru. „Abychom uživatelům učinili zadost, vytvořili jsme proces náhrady pro postižené uživatele, abychom je odškodnili.“
7/10 I přes naši snahu minimalizovat ztráty jsme proaktivně identifikovali 2 pravděpodobné exploity s celkovou ztrátou 170 tisíc dolarů. Abychom uživatelům učinili zadost, vytvořili jsme proces náhrady pro postižené uživatele, abychom je odškodnili.
Postup pro uplatnění nároku naleznete zde: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) 22. dubna 2023
Když byla zranitelnost opravena – čímž se zabránilo ovlivnění nových peněženek -, projektový tým říká, že diskutoval o tom, zda zranitelnost zveřejnit.
„Naším hlavním cílem bylo pomoci uživatelům zachovat co nejvíce jejich majetku a zabránit případným ztrátám,“ uvedl. „Domnívali jsme se, že důvěrná komunikace s uživateli mezi čtyřma očima jim umožní podniknout potřebné kroky, aniž by se vzdali výhradního vlastnictví svých aktiv.“
Projekt uvedl, že postižené uživatele oslovil prostřednictvím několika kol mobilních push oznámení a varování v aplikaci, která se objevovala každou minutu. Zprávy byly doprovázeny jasnými pokyny, jak mohou uživatelé převést svá aktiva, uvedl.
Nejenže Trust Wallet nabídl uživatelům zákaznickou podporu, ale projekt také nabídl, že uživatelům, kteří převedou své prostředky do nekompromitovaných peněženek, uhradí poplatky za plyn. Celkem Trust Wallet uhradil přibližně 23,6 BNB poplatků za plyn, tedy asi 7 700 USD.
Kromě toho Trust Wallet oslovila společnost Binance a zajistila si její pomoc při oslovování uživatelů, kteří měli prostředky, jež bylo možné vysledovat na burze. Projekt zdůraznil, že s burzou nesdílel „osobní identifikační údaje“.
Projekt poděkoval bezpečnostnímu týmu společnosti Binance za „řešení problému, posouzení rizik, eskalaci záležitosti, provedení analýzy dopadů a komunikaci s bezpečnostním výzkumníkem.“
Trust Wallet uvedl, že připravil veřejné prohlášení týkající se zranitelnosti již v listopadu loňského roku, ale rozhodl se počkat, protože zvažoval hodnotu informování veřejnosti oproti možnosti upozornění na bezpečnostní díru, která by mohla být stále zneužita.
Datum veřejného varování by nakonec posunuto v únoru na duben.
„Zvážili jsme, že po zveřejnění by mohl zlý činitel zneužít zbývající peněženky a převzít vlastnictví zbývajících prostředků,“ uvedla společnost. „Proto jsme postiženým uživatelům poskytli více času, aby si své prostředky zajistili, místo abychom […] zveřejnění provedli předčasně.“
