Il team di Trust Wallet ha impiegato pochi giorni per correggere una vulnerabilità che metteva a rischio i fondi degli utenti e per rilasciare la necessaria correzione. Ma il popolare portafoglio di criptovalute non ha riconosciuto pubblicamente il problema per mesi, e dice anche ora che gli utenti interessati dovranno passare a un nuovo indirizzo di portafoglio per proteggere i loro fondi.
Sabato Trust Wallet ha annunciato di aver risolto una vulnerabilità che riguarda gli utenti che hanno creato un portafoglio digitale utilizzando l’estensione del browser del progetto tra il 13 e il 23 novembre dello scorso anno. La correzione riguarda solo i portafogli per browser creati dopo il 23 novembre.
“Per essere liberi dalla vulnerabilità, gli utenti devono migrare le loro risorse dagli indirizzi dei portafogli interessati a nuovi indirizzi di portafogli non interessati”, ha dichiarato Trust Wallet in un post sul blog. “In queste circostanze, abbiamo intrapreso tutte le misure possibili per informare gli utenti e assisterli nel mitigare il rischio di potenziali attacchi. “
Il progetto di portafoglio sostenuto da Binance ha dichiarato di essere stato inizialmente avvisato del problema da un ricercatore di sicurezza lo scorso autunno, che ha segnalato un problema nella sua libreria open-source che esponeva le chiavi private a un rischio di sicurezza.
Sebbene la maggior parte dei fondi vulnerabili degli utenti sia stata messa al sicuro, Trust Wallet afferma che 88.300 dollari di fondi sono ancora esposti. Trust Wallet ha riconosciuto che alcuni utenti sono stati vittime della vulnerabilità, impegnandosi su Twitter a offrire loro un rimborso.
“Nonostante i nostri migliori sforzi per minimizzare le perdite, abbiamo identificato in modo proattivo 2 probabili exploit con una perdita totale di 170.000 dollari”, ha dichiarato il progetto su Twitter. “Per rendere giustizia agli utenti, abbiamo creato un processo di rimborso per gli utenti colpiti, per renderli integri. “
7/10 Nonostante i nostri sforzi per minimizzare le perdite, abbiamo identificato in modo proattivo 2 probabili exploit con una perdita totale di 170.000 dollari. Per fare del bene agli utenti, abbiamo creato un processo di rimborso per gli utenti colpiti, al fine di risarcirli.
Consultate la procedura di rimborso qui: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) 22 aprile 2023
Una volta risolta la vulnerabilità – evitando che i nuovi portafogli fossero colpiti – il team del progetto ha dichiarato di aver discusso se divulgare pubblicamente la vulnerabilità.
“Il nostro obiettivo primario era quello di aiutare gli utenti a preservare il più possibile i loro beni e a prevenire potenziali perdite”, ha dichiarato. “Abbiamo ritenuto che una comunicazione confidenziale e individuale con gli utenti avrebbe consentito loro di intraprendere le azioni necessarie senza sacrificare la proprietà esclusiva dei loro beni”.
Il progetto ha dichiarato di aver contattato gli utenti colpiti attraverso molteplici serie di notifiche push per cellulari e avvisi in-app che sono apparsi ogni minuto. I messaggi erano accompagnati da chiare istruzioni su come gli utenti potevano trasferire i loro beni.
Non solo Trust Wallet ha offerto agli utenti un’assistenza clienti, ma il progetto si è anche offerto di rimborsare le spese di gas per gli utenti che trasferiscono i loro fondi a portafogli non compromessi. In totale, Trust Wallet ha rimborsato circa 23,6 BNB di spese per la benzina, pari a circa 7.700 dollari.
Inoltre, Trust Wallet ha contattato Binance e si è assicurato l’aiuto della borsa per raggiungere gli utenti che avevano fondi che potevano essere ricondotti alla borsa. Il progetto ha sottolineato di non aver condiviso “informazioni di identificazione personale” con l’exchange.
Il progetto ha ringraziato il team di sicurezza di Binance per aver “gestito il problema, condotto una valutazione del rischio, aver dato priorità alla questione, aver condotto un’analisi dell’impatto e aver comunicato con il ricercatore di sicurezza”.
Trust Wallet ha dichiarato di aver preparato una dichiarazione pubblica sulla vulnerabilità lo scorso novembre, ma di aver deciso di aspettare, soppesando il valore di informare il pubblico rispetto alla possibilità di evidenziare una falla di sicurezza che poteva ancora essere utilizzata.
La data dell’avviso pubblico sarebbe infine slittata da febbraio ad aprile.
“Abbiamo ritenuto che una volta resa nota la falla, un malintenzionato avrebbe potuto sfruttare i portafogli rimanenti e appropriarsi dei fondi rimasti”, ha dichiarato. “Pertanto, abbiamo concesso agli utenti interessati più tempo per mettere al sicuro i loro fondi, invece di fare una divulgazione […] prematura. “
