Es dauerte ein paar Tage, bis das Team von Trust Wallet eine Sicherheitslücke behoben hatte, die die Gelder der Nutzer gefährdete, und die notwendige Korrektur veröffentlichte. Aber die beliebte Krypto-Wallet hat das Problem monatelang nicht öffentlich eingeräumt und sagt selbst jetzt noch, dass die betroffenen Nutzer zu einer neuen Wallet-Adresse wechseln müssen, um ihre Gelder zu schützen.
Am Samstag gab Trust Wallet bekannt, dass es eine Schwachstelle behoben hat, von der Nutzer betroffen sind, die zwischen dem 13. und 23. November letzten Jahres eine digitale Geldbörse mit der Browsererweiterung des Projekts erstellt haben. Die Korrektur betrifft nur Browser-Wallets, die nach dem 23. November erstellt wurden.
„Um von der Sicherheitslücke verschont zu bleiben, müssen die Nutzer ihr Vermögen von den betroffenen Wallet-Adressen auf neue, nicht betroffene Wallet-Adressen migrieren“, so Trust Wallet in einem Blog-Post. „Unter diesen Umständen haben wir alle möglichen Maßnahmen ergriffen, um die Nutzer zu informieren und ihnen dabei zu helfen, das Risiko potenzieller Angriffe zu mindern. „
Das von Binance unterstützte Wallet-Projekt sagte, dass es zunächst von einem Sicherheitsforscher im letzten Herbst auf das Problem aufmerksam gemacht wurde, der eine Lücke in seiner Open-Source-Bibliothek aufzeigte, die private Schlüssel einem Sicherheitsrisiko aussetzte.
Obwohl die meisten der gefährdeten Guthaben der Nutzer gesichert wurden, sind laut Trust Wallet immer noch 88.300 Dollar an Guthaben gefährdet. Trust Wallet räumte ein, dass einige Nutzer der Sicherheitslücke zum Opfer gefallen sind und versprach auf Twitter, ihnen eine Rückerstattung anzubieten.
„Trotz unserer besten Bemühungen, den Verlust zu minimieren, haben wir proaktiv 2 wahrscheinliche Sicherheitslücken mit einem Gesamtverlust von 170.000 $ identifiziert“, so das Projekt auf Twitter. „Um den Nutzern gerecht zu werden, haben wir einen Rückerstattungsprozess für betroffene Nutzer eingerichtet, um sie zu entschädigen. „
7/10 Trotz unserer Bemühungen, den Schaden so gering wie möglich zu halten, haben wir proaktiv 2 wahrscheinliche Sicherheitslücken mit einem Gesamtschaden von 170.000 $ identifiziert. Um den Nutzern gerecht zu werden, haben wir ein Entschädigungsverfahren für die betroffenen Nutzer eingerichtet, um sie zu entschädigen.
Sehen Sie sich den Entschädigungsprozess hier an: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) April 22, 2023
Nachdem die Schwachstelle behoben worden war – wodurch verhindert wurde, dass neue Geldbörsen betroffen waren – sagte das Projektteam, dass es darüber debattierte, ob es die Schwachstelle öffentlich machen sollte.
„Unser Hauptziel war es, den Nutzern zu helfen, so viel wie möglich von ihrem Vermögen zu bewahren und potenzielle Verluste zu verhindern“, heißt es. „Wir waren der Meinung, dass eine vertrauliche, persönliche Kommunikation mit den Nutzern es ihnen ermöglichen würde, die notwendigen Maßnahmen zu ergreifen, ohne das alleinige Eigentum an ihren Vermögenswerten zu verlieren.“
Das Projekt erklärte, dass es die betroffenen Nutzer durch mehrere Runden von mobilen Push-Benachrichtigungen und In-App-Warnungen, die im Minutentakt erschienen, erreicht hat. Die Nachrichten wurden von klaren Anweisungen begleitet, wie die Nutzer ihr Vermögen übertragen können, so das Projekt.
Trust Wallet bot den Nutzern nicht nur einen Kundendienst an, sondern bot auch die Erstattung von Gasgebühren für Nutzer an, die ihre Gelder auf nicht kompromittierte Geldbörsen übertragen. Insgesamt erstattete Trust Wallet rund 23,6 BNB an Gasgebühren, also etwa 7.700 US-Dollar.
Darüber hinaus hat Trust Wallet sich an Binance gewandt und die Hilfe der Börse in Anspruch genommen, um Nutzer zu erreichen, deren Gelder auf die Börse zurückgeführt werden konnten. Das Projekt betonte, dass es keine „persönlich identifizierbaren Informationen“ mit der Börse geteilt habe.
Das Projekt dankte dem Sicherheitsteam von Binance dafür, dass es das Problem behoben, Risikobewertungen durchgeführt, die Angelegenheit eskaliert, eine Auswirkungsanalyse durchgeführt und mit dem Sicherheitsforscher kommuniziert hat“.
Trust Wallet sagte, dass es im November letzten Jahres eine öffentliche Erklärung zu der Schwachstelle vorbereitet hatte, sich aber entschied, zu warten, um den Wert der Information der Öffentlichkeit gegen die Möglichkeit abzuwägen, eine Sicherheitslücke aufzuzeigen, die noch genutzt werden könnte.
Das Datum der öffentlichen Warnung wurde schließlich im Februar auf April verschoben.
„Wir waren der Meinung, dass ein bösartiger Akteur die verbleibenden Geldbörsen ausnutzen und sich die verbleibenden Gelder aneignen könnte, sobald die Sicherheitslücke bekannt gegeben wurde“, hieß es. „Daher haben wir den betroffenen Nutzern mehr Zeit gegeben, ihre Gelder zu sichern, anstatt eine verfrühte Bekanntgabe zu machen.
