El equipo de Trust Wallet tardó unos días en parchear una vulnerabilidad que ponía en riesgo los fondos de los usuarios y publicar la corrección necesaria. Pero el popular monedero de criptomonedas no reconoció públicamente el problema durante meses, y dice incluso ahora que los usuarios afectados tendrán que cambiar a una nueva dirección de monedero para proteger sus fondos.
El sábado, Trust Wallet anunció que había corregido una vulnerabilidad que afectaba a los usuarios que crearon un monedero digital utilizando la extensión de navegador del proyecto entre el 13 y el 23 de noviembre del año pasado. La corrección sólo beneficia a las carteras de navegador creadas después del 23 de noviembre.
«Para librarse de la vulnerabilidad, los usuarios deben migrar sus activos de las direcciones de monedero afectadas a nuevas direcciones de monedero no afectadas», explica Trust Wallet en una entrada de su blog. «En estas circunstancias, tomamos todas las medidas posibles para informar a los usuarios y ayudarles a mitigar el riesgo de posibles ataques. «
El proyecto de monedero respaldado por Binance dijo que había sido alertado inicialmente del problema por un investigador de seguridad el pasado otoño, que señaló un problema en su biblioteca de código abierto que exponía las claves privadas a un riesgo de seguridad.
Aunque la mayoría de los fondos vulnerables de los usuarios han sido protegidos, Trust Wallet afirma que 88.300 dólares de fondos siguen expuestos. Trust Wallet reconoció que algunos usuarios habían sido víctimas de la vulnerabilidad, comprometiéndose en Twitter a ofrecerles un reembolso.
«A pesar de nuestros mejores esfuerzos para minimizar las pérdidas, hemos identificado proactivamente 2 exploits probables con una pérdida total de $ 170K», dijo el proyecto en Twitter. «Para hacer lo correcto con los usuarios, hemos creado un proceso de reembolso para que los usuarios afectados puedan resarcirse. «
7/10 A pesar de nuestros esfuerzos por minimizar las pérdidas, hemos identificado proactivamente 2 exploits probables con una pérdida total de 170.000 dólares. Para hacer lo correcto a los usuarios, hemos creado un proceso de reembolso para los usuarios afectados para que puedan recuperarse.
Consulte el proceso de reclamación aquí: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) 22 de abril de 2023
Una vez solucionada la vulnerabilidad -que impedía que nuevas carteras se vieran afectadas-, el equipo del proyecto afirma que debatió si revelar la vulnerabilidad públicamente.
«Nuestro principal objetivo era ayudar a los usuarios a preservar la mayor parte posible de sus activos y evitar posibles pérdidas», afirma. «Creíamos que una comunicación confidencial y personalizada con los usuarios les permitiría tomar las medidas necesarias sin sacrificar la propiedad exclusiva de sus activos».
El proyecto dijo que llegó a los usuarios afectados a través de múltiples rondas de notificaciones push móviles y advertencias en la aplicación que aparecían cada minuto. Los mensajes iban acompañados de instrucciones claras sobre cómo los usuarios podían transferir sus activos.
Trust Wallet no solo ofreció a los usuarios asistencia al cliente, sino que también se ofreció a reembolsar las tasas de gas a los usuarios que transfirieran sus fondos a carteras no comprometidas. En total, Trust Wallet reembolsó alrededor de 23,6 BNB de tasas de gas, unos 7.700 dólares.
Además, Trust Wallet se puso en contacto con Binance y se aseguró la ayuda de la bolsa para llegar a los usuarios que tenían fondos que podrían ser rastreados hasta la bolsa. El proyecto hizo hincapié en que no compartió «información de identificación personal» con la bolsa.
El proyecto dio las gracias al equipo de seguridad de Binance por «triar el problema, realizar evaluaciones de riesgo, escalar el asunto, realizar análisis de impacto y comunicarse con el investigador de seguridad»
Trust Wallet dijo que había preparado una declaración pública sobre la vulnerabilidad el pasado mes de noviembre, pero decidió esperar, sopesando el valor de informar al público frente a la posibilidad de poner de relieve un agujero de seguridad que todavía podría ser utilizado.
La fecha del aviso público se retrasaría finalmente de febrero a abril.
«Consideramos que una vez hecha la revelación, un mal actor podría explotar los monederos restantes y apoderarse de los fondos restantes», dijo. «Por lo tanto, dimos a los usuarios afectados más tiempo para asegurar sus fondos en lugar de hacer una divulgación prematura».
