Trust Walletのチームがユーザーの資金を危険にさらす脆弱性をパッチし、必要な修正プログラムをリリースするのに数日かかりました。しかし、人気のある暗号ウォレットは何ヶ月もこの問題を公に認めず、影響を受けたユーザーは資金を保護するために新しいウォレットアドレスに移行する必要があると今でも言っています。
土曜日、Trust Walletは、昨年11月13日から11月23日の間にプロジェクトのブラウザ拡張機能を使用してデジタルウォレットを作成したユーザーに影響を与える脆弱性を修正したと発表しました。この修正は、11月23日以降に作成されたブラウザウォレットにのみ効果があります。
“脆弱性から解放されるためには、ユーザーは影響を受けるウォレットアドレスから新しい、影響を受けないウォレットアドレスに資産を移行する必要があります。” Trust Walletはブログ記事で述べています。”このような状況の下、我々はユーザーに情報を提供し、潜在的な攻撃のリスクを軽減するために支援するためにあらゆる手段を講じました。”
Binanceが支援するウォレットプロジェクトは、昨年秋にセキュリティ研究者から、秘密鍵をセキュリティリスクにさらすオープンソースライブラリの問題を指摘され、当初はこの問題を警告されていたと述べた。
ユーザーの脆弱な資金のほとんどは確保されたものの、Trust Walletによると、88,300ドルの資金がまだ露出しているという。Trust Walletは、数名のユーザーがこの脆弱性の被害に遭ったことを認め、Twitterで返金することを約束しました。
“損失を最小限に抑えるための最善の努力にもかかわらず、我々は積極的に2つの可能性の高い悪用を特定し、合計170Kドルの損失が発生しました “とプロジェクトはTwitterで述べています。”ユーザーに対して正しいことをするために、影響を受けたユーザーに対して、全額を払い戻すプロセスを作りました。”
7/10 損失を最小限に抑えるべく最善を尽くしましたが、2つの可能性の高いエクスプロイトを積極的に特定し、合計170Kドルの損失が発生しました。ユーザーに対して正しい行動をとるため、影響を受けたユーザーに対して、全額を返金するプロセスを作成しました。
請求手続きはこちらでご覧ください: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) April 22, 2023
」。
脆弱性が修正され、新しいウォレットが影響を受けないようになった後、プロジェクトチームは脆弱性を公表するかどうか悩んだと言います。
「私たちの第一の目的は、ユーザーの資産を可能な限り保全し、潜在的な損失を防止することでした」と、プロジェクトチームは述べています。「私たちは、ユーザーと1対1で秘密裏にコミュニケーションをとることで、ユーザーが資産の所有権を犠牲にすることなく、必要な措置をとることができると考えました」と述べています。
プロジェクトは、1分ごとに表示される複数回のモバイルプッシュ通知とアプリ内警告を通じて、影響を受けるユーザーに連絡を取ったと述べています。メッセージには、ユーザーが資産を譲渡する方法についての明確な指示が添えられていたという。
Trust Walletは、ユーザーに対してカスタマーサポートを提供しただけでなく、ユーザーが被害を受けていないウォレットに資金を移動する際のガス料金の払い戻しも提供しました。合計で、Trust Walletは約23.6BNB、約7,700ドルのガス代を払い戻した。
さらに、Trust WalletはBinanceに連絡を取り、同取引所への追跡が可能な資金を持つユーザーへの連絡について、同取引所の協力を取り付けました。同プロジェクトは、「個人を特定できる情報」を取引所と共有しなかったことを強調した。
同プロジェクトは、Binanceのセキュリティチームが「問題のトリアージ、リスク評価の実施、問題のエスカレーション、影響分析の実施、セキュリティ研究者とのコミュニケーション」をしてくれたことに感謝しています
。
Trust Walletによると、昨年11月に脆弱性に関する公開声明を準備していたが、まだ利用できるセキュリティホールを強調する可能性と一般に知らせる価値を天秤にかけて、待つことにした。
公開警告の日付は、最終的に2月から4月に延期されることになりました。
“私たちは、公開がなされると、悪質な業者が残りのウォレットを悪用し、残された資金の所有権を奪う可能性があると考えました。”と述べています。”したがって、我々は影響を受けるユーザーに、[…]早すぎる開示を行う代わりに、資金を確保するための時間を与えた。”
