花了几天时间,Trust Wallet的团队修补了一个使用户资金处于风险之中的漏洞,并发布了必要的修复程序。但这个流行的加密货币钱包几个月来没有公开承认这个问题,甚至现在还说,受影响的用户需要转移到一个新的钱包地址,以保护他们的资金。
上周六,Trust Wallet宣布它修复了一个漏洞,该漏洞影响到去年11月13日至11月23日期间使用该项目浏览器扩展创建数字钱包的用户。这次修复只对11月23日之后创建的浏览器钱包有利。
“为了不受该漏洞的影响,用户必须将他们的资产从受影响的钱包地址迁移到新的、不受影响的钱包地址,”Trust Wallet在一篇博文中说。”在这种情况下,我们采取了一切可能的措施来通知用户,并协助他们减轻潜在的攻击风险。”
这个由Binance支持的钱包项目说,它最初是由一名安全研究人员在去年秋天提醒它注意这个问题的,该研究人员在其开源库中标记了一个问题,使私人密钥暴露在安全风险中。
虽然大部分用户的脆弱资金已经得到保障,但Trust Wallet表示,仍有88,300美元的资金被暴露。Trust Wallet承认有少数用户成为该漏洞的受害者,在Twitter上承诺向他们提供退款。
“尽管我们尽最大努力减少损失,但我们主动发现了2个可能的漏洞,总损失为17万美元,”该项目在Twitter上说。”为了对得起用户,我们为受影响的用户创建了一个报销程序,以使他们得到补偿。”
7/10 尽管我们尽最大努力减少损失,但我们主动发现了两个可能的漏洞,总损失为17万美元。为了对得起用户,我们为受影响的用户创建了一个报销程序,以使他们得到补偿。
请看这里的索赔程序: https://t.co/a7qLwJQuop
– Trust Wallet (@TrustWallet) April 22, 2023
一旦该漏洞被修复–防止新的钱包受到影响–项目组表示,它在是否公开披露该漏洞方面进行了辩论。
“我们的首要目标是帮助用户尽可能多地保存他们的资产,并防止潜在的损失,”它说。”我们相信,与用户进行保密的、一对一的沟通将使用户能够采取必要的行动而不牺牲他们的资产的唯一所有权”。
该项目说,它通过每分钟出现的多轮移动推送通知和应用内警告,向受影响的用户进行了宣传。它说,这些信息伴随着关于用户如何转移其资产的明确指示。
Trust Wallet不仅为用户提供了客户支持,而且该项目还为用户将其资金转移到未受影响的钱包提供了汽油费的报销。总的来说,Trust Wallet偿还了约23.6个BNB的汽油费,或约7,700美元。
此外,Trust Wallet还联系了Binance,并获得了该交易所的帮助,以联系那些拥有可追溯到该交易所的资金的用户。该项目强调,它没有与该交易所分享 “个人身份信息”。
该项目感谢Binance的安全团队 “分流问题,进行风险评估,升级该事项,进行影响分析,并与安全研究员沟通”。
Trust Wallet表示,它曾在去年11月准备了一份关于该漏洞的公开声明,但决定等待,权衡了告知公众的价值和突出一个仍可使用的安全漏洞的可能性。
公开警告的日期最终将在2月推后到4月。
“我们考虑到,一旦披露,一个坏的行为者可能会利用剩余的钱包,并获得剩余资金的所有权,”它说。”因此,我们给受影响的用户更多的时间来保护他们的资金,而不是过早地披露。
