Het duurde een paar dagen voor het team van Trust Wallet om een kwetsbaarheid te verhelpen die de fondsen van gebruikers in gevaar bracht en de noodzakelijke fix vrij te geven. Maar de populaire cryptowallet heeft het probleem maandenlang niet publiekelijk erkend en zegt zelfs nu nog dat getroffen gebruikers naar een nieuw walletadres moeten verhuizen om hun fondsen te beschermen.
Op zaterdag kondigde Trust Wallet aan dat het een kwetsbaarheid heeft verholpen die gevolgen heeft voor gebruikers die tussen 13 en 23 november vorig jaar een digitale portemonnee hebben aangemaakt met behulp van de browserextensie van het project. De fix komt alleen ten goede aan browser-portemonnees die na 23 november zijn aangemaakt.
“Om vrij te zijn van de kwetsbaarheid moeten gebruikers hun activa migreren van de getroffen portemonnee-adressen naar nieuwe, niet getroffen portemonnee-adressen,” zei Trust Wallet in een blogpost. “Onder deze omstandigheden hebben we alle mogelijke maatregelen genomen om gebruikers te informeren en hen te helpen het risico van mogelijke aanvallen te beperken.”
Het door Binance gesteunde portemonnee-project zei dat het aanvankelijk op het probleem was gewezen door een beveiligingsonderzoeker afgelopen herfst, die een probleem in zijn open-source bibliotheek signaleerde dat privé-sleutels blootstelde aan een veiligheidsrisico.
Hoewel de meeste kwetsbare fondsen van gebruikers zijn veiliggesteld, zegt Trust Wallet dat 88.300 dollar aan fondsen nog steeds zijn blootgesteld. Trust Wallet erkende dat enkele gebruikers slachtoffer waren geworden van de kwetsbaarheid en beloofde op Twitter hen een terugbetaling aan te bieden.
“Ondanks onze beste inspanningen om het verlies te minimaliseren, hebben we proactief 2 waarschijnlijke exploits geïdentificeerd met een totaal verlies van $170K,” zei het project op Twitter. “Om recht te doen aan gebruikers hebben we een terugbetalingsproces gecreëerd voor getroffen gebruikers om hen heel te maken.”
7/10 Ondanks onze inspanningen om het verlies te minimaliseren, hebben we proactief 2 waarschijnlijke exploits geïdentificeerd met een totaal verlies van $170K. Om gebruikers recht te doen, hebben we een terugbetalingsproces voor getroffen gebruikers in het leven geroepen.
Bekijk het claimproces hier: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) April 22, 2023
Toen de kwetsbaarheid eenmaal was verholpen – waardoor nieuwe wallets niet meer konden worden getroffen – zegt het projectteam te hebben gedebatteerd over het openbaar maken van de kwetsbaarheid.
“Ons primaire doel was om gebruikers te helpen zoveel mogelijk van hun activa te behouden en potentiële verliezen te voorkomen”, aldus het team. “We geloofden dat vertrouwelijke, één-op-één communicatie met gebruikers gebruikers gebruikers in staat zou stellen de nodige acties te ondernemen zonder het enige eigendom van hun activa op te offeren.”
Het project zei dat het getroffen gebruikers bereikte via meerdere rondes van mobiele pushmeldingen en in-app waarschuwingen die elke minuut verschenen. De berichten gingen vergezeld van duidelijke instructies over hoe gebruikers hun activa konden overdragen, zei het.
Niet alleen bood Trust Wallet gebruikers klantenondersteuning, maar het project bood ook aan om de gaskosten te vergoeden voor gebruikers die hun tegoeden overzetten naar niet-gecompromitteerde portemonnees. In totaal vergoedde Trust Wallet ongeveer 23,6 BNB aan benzinekosten, oftewel ongeveer $7.700.
Daarnaast reikte Trust Wallet de hand aan Binance en verzekerde zich van de hulp van de beurs bij het bereiken van gebruikers die fondsen hadden die naar de beurs konden worden getraceerd. Het project benadrukte dat het geen “persoonlijk identificeerbare informatie” deelde met de beurs.
Het project bedankte het beveiligingsteam van Binance voor het “triagen van het probleem, het uitvoeren van risicobeoordelingen, het escaleren van de zaak, het uitvoeren van impactanalyses en het communiceren met de beveiligingsonderzoeker.”
Trust Wallet zei dat het afgelopen november een openbare verklaring over de kwetsbaarheid had voorbereid, maar besloot te wachten, omdat het de waarde van het informeren van het publiek afweegde tegen de mogelijkheid van het benadrukken van een beveiligingslek dat nog steeds gebruikt zou kunnen worden.
De datum van de openbare waarschuwing zou uiteindelijk in februari worden verschoven naar april.
“We overwogen dat zodra de onthulling was gedaan, een slechte actor de resterende wallets zou kunnen exploiteren en het eigendom van de resterende fondsen zou kunnen overnemen,” zei het bedrijf. “Daarom gaven we getroffen gebruikers meer tijd om hun fondsen veilig te stellen in plaats van een[…] voortijdige openbaarmaking.”
