Zespół Trust Wallet potrzebował kilku dni, aby załatać lukę, która naraziła fundusze użytkowników na ryzyko i wydać niezbędną poprawkę. Ale popularny portfel kryptowalutowy nie przyznał się publicznie do problemu przez miesiące, a nawet teraz mówi, że dotknięci użytkownicy będą musieli przenieść się na nowy adres portfela, aby chronić swoje fundusze.
W sobotę Trust Wallet ogłosił, że naprawił lukę, która wpływa na użytkowników, którzy stworzyli cyfrowy portfel za pomocą rozszerzenia przeglądarki projektu między 13 listopada a 23 listopada ubiegłego roku. Poprawka przynosi korzyści tylko portfelom przeglądarkowym utworzonym po 23 listopada.
„Aby być wolnym od luki, użytkownicy muszą zmigrować swoje aktywa z dotkniętych adresów portfeli do nowych, nie dotkniętych adresów portfeli”, powiedział Trust Wallet w poście na blogu. „W tych okolicznościach podjęliśmy wszelkie możliwe środki, aby poinformować użytkowników i pomóc im w zmniejszeniu ryzyka potencjalnych ataków. „
Projekt portfela wspierany przez Binance powiedział, że został początkowo ostrzeżony o problemie przez badacza bezpieczeństwa jesienią ubiegłego roku, który zasygnalizował problem w swojej bibliotece open-source, który narażał klucze prywatne na ryzyko bezpieczeństwa.
Chociaż większość zagrożonych środków użytkowników została zabezpieczona, Trust Wallet twierdzi, że 88.300 dolarów środków jest nadal narażonych. Trust Wallet przyznał, że kilku użytkowników padło ofiarą luki, zobowiązując się na Twitterze do zaoferowania im zwrotu pieniędzy.
„Pomimo naszych najlepszych starań, aby zminimalizować straty, proaktywnie zidentyfikowaliśmy 2 prawdopodobne exploity o łącznej stracie 170K dolarów” – powiedział projekt na Twitterze. „Aby zrobić dobrze użytkownikom, stworzyliśmy proces zwrotu kosztów dla poszkodowanych użytkowników, aby uczynić ich całymi. „
7/10 Pomimo naszych najlepszych starań, aby zminimalizować straty, proaktywnie zidentyfikowaliśmy 2 prawdopodobne exploity o łącznej stracie $170K. Aby zrobić coś dobrego dla użytkowników, stworzyliśmy proces zwrotu kosztów dla poszkodowanych użytkowników, aby ich wynagrodzić.
Zobacz proces roszczeń tutaj: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) 22 kwietnia 2023
Po naprawieniu luki – zapobiegającemu naruszeniu nowych portfeli – zespół projektowy powiedział, że zastanawiał się, czy ujawnić ją publicznie.
„Naszym głównym celem było pomóc użytkownikom zachować jak najwięcej ich aktywów i zapobiec potencjalnym stratom”, powiedział. „Wierzyliśmy, że poufna, indywidualna komunikacja z użytkownikami umożliwiłaby użytkownikom podjęcie niezbędnych działań bez poświęcania wyłącznej własności ich aktywów”.
Projekt powiedział, że dotarł do dotkniętych użytkowników poprzez wiele rund mobilnych powiadomień push i ostrzeżeń w aplikacji, które pojawiały się co minutę. Wiadomościom towarzyszyły jasne instrukcje, w jaki sposób użytkownicy mogą przenieść swoje aktywa, powiedział.
Trust Wallet nie tylko zaoferował użytkownikom wsparcie klienta, ale projekt zaoferował również zwrot opłat za gaz dla użytkowników przenoszących swoje fundusze do nieskompromitowanych portfeli. W sumie Trust Wallet zwrócił około 23,6 BNB opłat za gaz, czyli około 7 700 dolarów.
Dodatkowo Trust Wallet dotarł do Binance i zapewnił sobie pomoc giełdy w dotarciu do użytkowników, którzy posiadali środki, które można było wyśledzić na giełdzie. Projekt podkreślił, że nie udostępnił giełdzie „informacji umożliwiających identyfikację osoby”.
Projekt podziękował zespołowi bezpieczeństwa Binance za „zajęcie się problemem, przeprowadzenie oceny ryzyka, eskalację sprawy, przeprowadzenie analizy wpływu i komunikację z badaczem bezpieczeństwa. „
Trust Wallet powiedział, że przygotował publiczne oświadczenie dotyczące luki w listopadzie ubiegłego roku, ale zdecydował się czekać, ważąc wartość informowania opinii publicznej z możliwością podkreślenia luki w zabezpieczeniach, która nadal może być wykorzystywana.
Data publicznego ostrzeżenia zostałaby ostatecznie przesunięta z lutego na kwiecień.
„Uznaliśmy, że po ujawnieniu, zły aktor może wykorzystać pozostałe portfele i przejąć własność pozostawionych środków”, powiedział. „Dlatego daliśmy dotkniętym użytkownikom więcej czasu na zabezpieczenie swoich funduszy[s] zamiast dokonywać[…] przedwczesnego ujawnienia. „
