A equipa da Trust Wallet demorou alguns dias a corrigir uma vulnerabilidade que colocava em risco os fundos dos utilizadores e a lançar a correcção necessária. Mas a popular carteira criptográfica não reconheceu publicamente o problema durante meses, e diz mesmo agora que os utilizadores afectados terão de mudar para um novo endereço de carteira para proteger os seus fundos.
No sábado, a Trust Wallet anunciou que corrigiu uma vulnerabilidade que afeta os usuários que criaram uma carteira digital usando a extensão do navegador do projeto entre 13 de novembro e 23 de novembro do ano passado. A correção beneficia apenas as carteiras de navegador criadas após 23 de novembro.
“Para se livrarem da vulnerabilidade, os utilizadores devem migrar os seus activos dos endereços de carteira afectados para novos endereços de carteira não afectados”, afirmou a Trust Wallet num post de blogue. “Nestas circunstâncias, tomámos todas as medidas possíveis para informar os utilizadores e ajudá-los a mitigar o risco de potenciais ataques. “
O projecto de carteira apoiado pela Binance disse que tinha sido inicialmente alertado para o problema por um investigador de segurança no Outono passado, que assinalou um problema na sua biblioteca de código aberto que expunha as chaves privadas a um risco de segurança.
Embora a maioria dos fundos vulneráveis dos utilizadores tenha sido protegida, a Trust Wallet afirma que 88 300 dólares de fundos ainda estão expostos. A Trust Wallet reconheceu que alguns utilizadores foram vítimas da vulnerabilidade, comprometendo-se no Twitter a oferecer-lhes um reembolso.
“Apesar dos nossos melhores esforços para minimizar as perdas, identificámos proactivamente 2 explorações prováveis com uma perda total de 170 mil dólares”, afirmou o projecto no Twitter. “Para fazer o que é certo para os utilizadores, criámos um processo de reembolso para os utilizadores afectados para os tornar completos. “
7/10 Apesar dos nossos melhores esforços para minimizar as perdas, identificámos proactivamente 2 exploits prováveis com uma perda total de $170K. Para fazer o que é certo para os utilizadores, criámos um processo de reembolso para os utilizadores afectados, de modo a torná-los mais conscientes.
Veja o processo de reivindicação aqui: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) 22 de Abril de 2023
Uma vez que a vulnerabilidade foi corrigida – evitando que novas carteiras fossem afectadas – a equipa do projecto diz que debateu se deveria divulgar a vulnerabilidade publicamente.
“O nosso principal objectivo era ajudar os utilizadores a preservar o máximo possível dos seus activos e evitar potenciais perdas”, afirmou. “Acreditávamos que a comunicação confidencial e individual com os utilizadores permitiria que estes tomassem as medidas necessárias sem sacrificar a propriedade exclusiva dos seus activos.”
O projeto disse que entrou em contato com os usuários afetados por meio de várias rodadas de notificações push móveis e avisos no aplicativo que apareciam a cada minuto. As mensagens foram acompanhadas por instruções claras sobre como os usuários poderiam transferir seus ativos, disse.
A Trust Wallet não apenas ofereceu suporte ao cliente aos usuários, mas o projeto também ofereceu o reembolso das taxas de gás para os usuários que transferissem seus fundos para carteiras não comprometidas. No total, a Trust Wallet reembolsou cerca de 23,6 BNB de taxas de gás, ou cerca de US $ 7.700.
Além disso, a Trust Wallet entrou em contato com a Binance e garantiu a ajuda da bolsa para alcançar os usuários que tinham fundos que poderiam ser rastreados até a bolsa. O projeto enfatizou que não compartilhou “informações de identificação pessoal” com a bolsa.
O projecto agradeceu à equipa de segurança da Binance por “fazer a triagem do problema, realizar avaliações de risco, escalar o assunto, realizar análises de impacto e comunicar com o investigador de segurança”.
A
Trust Wallet disse que preparou uma declaração pública sobre a vulnerabilidade em Novembro passado, mas decidiu esperar, pesando o valor de informar o público contra a possibilidade de destacar uma falha de segurança que ainda poderia ser usada.
A data do aviso público acabaria por ser adiada de Fevereiro para Abril.
“Considerámos que, assim que a divulgação fosse feita, um mau actor poderia explorar as carteiras restantes e apropriar-se dos fundos restantes”, afirmou. “Por isso, demos mais tempo aos utilizadores afectados para protegerem os seus fundos, em vez de fazermos uma divulgação prematura. “
