Команде Trust Wallet потребовалось несколько дней, чтобы устранить уязвимость, подвергавшую риску средства пользователей, и выпустить необходимое исправление. Но популярный криптокошелек не признавал проблему публично в течение нескольких месяцев, и даже сейчас говорит, что пострадавшим пользователям придется перейти на новый адрес кошелька, чтобы защитить свои средства.
В субботу Trust Wallet объявил об устранении уязвимости, которая затрагивает пользователей, создавших цифровой кошелек с помощью браузерного расширения проекта в период с 13 по 23 ноября прошлого года. Исправление распространяется только на браузерные кошельки, созданные после 23 ноября.
«Чтобы избавиться от уязвимости, пользователи должны перенести свои активы с затронутых адресов кошельков на новые, незатронутые адреса кошельков», — говорится в сообщении Trust Wallet в блоге. «В этих обстоятельствах мы предприняли все возможные меры для информирования пользователей и оказания им помощи в снижении риска потенциальных атак. «
Проект кошелька, поддерживаемый компанией Binance, сообщил, что первоначально о проблеме его предупредил исследователь безопасности осенью прошлого года, который отметил проблему в его библиотеке с открытым исходным кодом, подвергающую приватные ключи риску безопасности.
Хотя большая часть уязвимых средств пользователей была защищена, Trust Wallet утверждает, что средства в размере 88 300 долларов все еще остаются незащищенными. Trust Wallet признал, что несколько пользователей стали жертвами уязвимости, и пообещал в Твиттере предложить им возмещение.
«Несмотря на все наши усилия по минимизации потерь, мы проактивно выявили 2 вероятных эксплойта с общей суммой потерь $170K», — говорится в сообщении проекта в Twitter. «Чтобы поступить правильно по отношению к пользователям, мы создали процесс возмещения для пострадавших пользователей, чтобы сделать их целыми. «
7/10 Несмотря на все наши усилия по минимизации потерь, мы проактивно выявили 2 вероятных эксплойта с общей суммой потерь $170K. Чтобы поступить правильно по отношению к пользователям, мы разработали процесс возмещения убытков для пострадавших пользователей.
Ознакомиться с процессом возмещения можно здесь: https://t.co/a7qLwJQuop
— Trust Wallet (@TrustWallet) Апрель 22, 2023
После того, как уязвимость была устранена, что предотвратило воздействие на новые кошельки, команда проекта говорит, что обсуждала, раскрывать ли уязвимость публично.
«Нашей главной целью было помочь пользователям сохранить как можно больше своих активов и предотвратить возможные потери», — говорится в сообщении. «Мы считали, что конфиденциальное общение с пользователями один на один позволит им предпринять необходимые действия без ущерба для единоличного владения своими активами».
Проект заявил, что он обратился к пострадавшим пользователям с помощью нескольких раундов мобильных push-уведомлений и предупреждений в приложении, которые появлялись каждую минуту. Сообщения сопровождались четкими инструкциями о том, как пользователи могут перевести свои активы, говорится в сообщении.
Проект Trust Wallet не только предоставил пользователям поддержку, но и предложил возместить расходы на бензин для пользователей, переводивших свои средства на незащищенные кошельки. В общей сложности Trust Wallet возместил около 23,6 BNB платы за газ, или около $7 700.
Кроме того, Trust Wallet связался с Binance и заручился ее помощью в розыске пользователей, чьи средства можно отследить до биржи. Проект подчеркнул, что не делился с биржей «персонально идентифицируемой информацией».
Проект поблагодарил команду безопасности Binance за «устранение проблемы, проведение оценки рисков, эскалацию вопроса, проведение анализа последствий и общение с исследователем безопасности. «
Trust Wallet сообщил, что подготовил публичное заявление об уязвимости в ноябре прошлого года, но решил подождать, соизмеряя ценность информирования общественности с возможностью высветить брешь в системе безопасности, которую все еще можно использовать.
В итоге дата публичного предупреждения была перенесена с февраля на апрель.
«Мы посчитали, что после раскрытия информации плохой агент может воспользоваться оставшимися кошельками и завладеть оставшимися средствами», — говорится в сообщении. «Поэтому мы предоставили пострадавшим пользователям больше времени для защиты своих средств, вместо того чтобы сделать […] преждевременное раскрытие информации»
