WASM Vulnerability, Incident Update, at Recommended Actions

Filipino Anunsyo
1

Dear Trust Wallet Community,

Ang seguridad ay ang pundasyon ng kung ano ang ginagawa namin sa Trust Wallet. Nakatuon kami sa pagbibigay ng secure na wallet software at aktibong pakikipagtulungan sa mga eksperto sa industriya upang matukoy, mapagaan, at malutas ang anumang mga kahinaan nang mabilis. Bagama’t masigasig kaming nagsisikap na pigilan ang mga kahinaan, maaaring mangyari paminsan-minsan ang mga ito.

Noong Nobyembre 2022, isang security researcher ang nag-ulat ng kahinaan sa WebAssembly (WASM) sa aming open-source na library, ang Wallet Core, sa pamamagitan ng aming bug bounty program. Ang aming Trust Wallet Browser Extension ay gumagamit ng WASM sa Wallet Core, at ang mga bagong wallet address na nabuo sa pagitan ng Nobyembre 14 at 23, 2022 ng Browser Extension ay naglalaman ng ganitong kahinaan. Mabilis naming na-patch ang kahinaan, at ligtas ang lahat ng address na ginawa pagkatapos ng mga petsang iyon.

Sa kabila ng aming pinakamahusay na pagsisikap, maagap naming natukoy ang dalawang potensyal na pagsasamantala, na nagreresulta sa kabuuang pagkawala ng humigit-kumulang $170,000 USD sa oras ng pag-atake. Bilang pangako sa transparency at proteksyon ng user, gusto naming tiyakin sa mga user na babayaran namin ang mga karapat-dapat na pagkalugi mula sa mga hack dahil sa kahinaan at gumawa kami ng proseso ng reimbursement para sa mga apektadong user. At hinikayat namin ang mga apektadong user na ilipat ang natitirang ~$88,000 USD na balanse sa lahat ng masusugatang address sa lalong madaling panahon.

Mga Inirerekomendang Pagkilos para sa Mga User

Ang mga pinakabagong bersyon ng Trust Wallet mobile app at Browser Extension ay nananatiling ligtas at secure na gamitin.

SINO ANG HINDI AFFECTED?

  • Ang iyong mga wallet address ay hindi apektado ng kahinaang ito sa mga sumusunod na sitwasyon:

  • Kung gumagamit ka lang ng Trust Wallet na mga mobile app.

  • Kung nag-import ka lang ng mga wallet address sa Browser Extension.

  • Kung ginamit mo lang ang Browser Extension para gumawa ng bagong wallet bago ang Nobyembre 14 2023 o pagkatapos ng Nobyembre 23, 2022.

SINO ANG AFFECTED?

  • Kung mahina ang iyong mga address sa wallet, makakakita ka ng notification sa Extension ng Browser. Mangyaring buksan ang iyong TW Browser Extension at tingnan kung nakatanggap ka ng naturang babala na abiso.

ANONG MGA AKSYON ANG DAPAT GAWIN?

Kung hindi mo nakikita ang notification ng babala, ligtas na gamitin ang iyong mga address ng wallet, at hindi ka naaapektuhan ng kahinaang ito.

Kung makikita mo ang notification, dapat kang gumawa ng bagong wallet address at agad na ilipat ang iyong mga asset at ihinto ang paggamit ng mga masusugatan na address. Mangyaring iwasan ang paggamit ng mga address ng wallet na hindi mo mismo ginawa upang maiwasang mapakinabangan ng mga scammer. Pakitingnan ang tutorial 14 sa paglilipat ng asset na ito.

Para sa mga user na nakakita ng abnormal na paggalaw ng pondo noong huling bahagi ng Disyembre 2022 at huling bahagi ng Marso 2023, maaaring isa ka sa iilang biktima na dumaranas ng dalawang pagsasamantala. Mangyaring maingat na basahin ang proseso ng reimbursement upang maunawaan ang mga susunod na hakbang 10. Ito ang aming pinakamahusay na pagsisikap na i-verify ang pagmamay-ari ng mga apektadong address at ibabalik namin ang mga pondo sa bawat biktima. Mayroon kaming eksaktong listahan ng lahat ng apektadong wallet.

Mga Inirerekomendang Pagkilos para sa mga developer ng wallet na gumagamit ng Wallet Core

Kung ginamit mo ang library ng Wallet Core para sa pagbuo ng mga wallet ng Browser Extension noong 2022, tiyaking naipatupad mo ang pinakabagong bersyon ng Wallet Core upang pigilan ang iyong Browser Extension app na maapektuhan ng kahinaang ito, na maaaring magresulta sa mga pagkalugi para sa iyong mga user. Mabilis naming inabisuhan ang mga developer ng wallet na kilala na gumagamit ng Wallet Core para sa mga wallet ng Extension ng Browser nang matuklasan ang kahinaan.

Ang postmortem 18 ay nagdedetalye ng insidente, kung ano ang aming ginawa, at kung ano ang aming natutunan para sa pagpapabuti at pagpapagaan ng paghawak sa seguridad, at mga hakbang sa hinaharap. Humihingi kami ng paumanhin para sa pagkawala at abala na idinulot sa mga user at inaako namin ang responsibilidad para sa aming mga pagkakamali habang nagsusumikap para iwasto ang sitwasyon para sa mga apektadong user. Sa pagdating ng mga wastong claim, ipoproseso namin nang mabilis hangga’t maaari at pana-panahong magbibigay ng mga update. Upang mapanatili ang transparency sa proseso ng reimbursement, magbibigay kami ng mga regular na update dito sa ibaba.

Naproseso ang mga claim sa wallet ng biktima: 8 (mula noong Abril 22, 2023)

Nais naming ipahayag ang aming taos-pusong pasasalamat sa security researcher na nakatuklas at nag-ulat ng kahinaan sa amin. Napakahalaga ng kanyang kontribusyon sa pagtulong sa amin na matiyak ang seguridad ng mga wallet ng mga user. Humingi kami ng gabay mula sa mga kilalang propesyonal sa industriya upang ma-optimize ang pinakamahusay na mga resulta para sa aming mga user. Sa partikular, ang Ledger Team at Binance Security team, kasama ang kanilang malawak na kadalubhasaan sa pinakamahuhusay na kagawian sa seguridad, ay nagbigay ng napakahalagang mga insight sa buong proseso. Nais naming ipahayag ang aming pasasalamat sa kanilang tulong sa pagtugon sa usaping ito. Ikinararangal namin na maging bahagi ng komunidad na ito.

Sincerely,

Trust Wallet Team

Frequently Asked Questions (FAQ)

Is it safe to use the Browser Extension?

  • Yes. Both the Browser Extension and the mobile app are safe to use. We also recently published a security audits of Browser Extension performed by Certik and Cure53. View the details here.

Is this vulnerability related to the massive wallet drain mentioned in this Twitter post https://twitter.com/tayvano_/status/1648187031468781568

  • No. They are two completely unrelated events. None of the wallet addresses affected by this vulnerability are found in this massive wallet drain mentioned in the Twitter post.

Are any wallets still affected?

  • Yes, the vulnerable wallet addresses are vulnerable regardless of the wallet applications or hardware used. The Trust Wallet app and Browser Extension remain safe and secure to use. Affected owners should create a new wallet and transfer funds this newly created wallet (not wallet addresses provided by anyone else) and stop using the tainted addresses.
  • Any affected users with the vulnerable addresses will see a notification in their Trust Wallet Browser Extension. We will help you to transfer the funds in your affected wallet to a new wallet address , or reimburse any losses caused by hacks according to the reimbursement process .
  • If you haven’t received a notification, your wallet was not affected and no further action is needed.

How did you notify and instruct the affected addresses’ users to move the funds to another secure wallet?

  • We informed users immediately via push notifications, warnings, and guides on the actions required for affected users to secure their funds. We also provided dedicated customer support and gas fee assistance to cover the costs of users’ transferring funds. Additionally, when we discovered that the upstream funding of the affected wallet addresses came from Binance, based on public on-chain data, we contacted Binance to assist in notifying the users while maintaining their privacy. It’s important to note that we take the protection of our users’ privacy seriously. No personally identifiable information has ever been shared between Binance and Trust Wallet.

I’m seeing the warning message on my Browser Extension meaning that my wallet address is subject to this vulnerability. If I import that wallet address to somewhere else, will the vulnerability be mitigated and my wallet become safe?

How long did it take to fix the vulnerability?

  • We fixed the vulnerability within 1 day of verifying the bounty report.

What platforms did this vulnerability affect?

  • The vulnerability impacted wallets created in the Browser Extension between November 14 and 23, 2022. This vulnerability was specifically related to the WebAssembly (Wasm) implementation in our open source project Wallet Core and did not originate from the Browser Extension itself.

What was the location of the vulnerability?

  • The vulnerability occurred in the back-end module WebAssembly (WASM) located in the open source repository Wallet Core, which affected new wallets generated by versions 0.0.172 and 0.0.182 of the Browser Extension.

What are you doing to ensure security in the Trust Wallet ecosystem?

  • We are 100% committed to providing a secure wallet for our users’ to safeguard their funds. In the past few months we’ve taken significant additional steps to enhance our security to keep users funds safe, including:
  • Increasing our security audits and audit coverage to x5 times more.
  • Engaged multiple top-tier, third-party external auditors to assess our security. View the latest reports here.
  • Launched security features including a Security Scanner to warn users of risk.
  • For more information, please read our postmortem here .

Was this vulnerability exploited?

  • Yes. We fixed the vulnerability within a day, however two exploits occurred within a small window of time, resulting in a total loss of $170,000 USD.

Why are you only communicating about this vulnerability now?

  • Securing users’ wallets and preventing/reducing any potential losses was our top priority – and an early public disclosure of the vulnerability would have put users’ at risk of an almost immediate hacks and at a larger scope of loss. We focused on patching the vulnerability, and helping users’ to move their funds utilizing various channels to communicate the situation without drawing the attention of potential bad actors. Over the past few months, we have observed consistent momentum of users moving funds away, and we did not want to deprive them of the time and opportunity to take action. Now the majority of the funds in the affected wallet addresses have been moved to a safe location by users, the momentum of fund movement has been slowing down, and the cost of hack operations is economically not reasonable, so we think it’s a good time to do public disclosure at a much lower risk of user fund loss.

Will Trust Wallet reach out to me directly?

  • No, Trust Wallet will not reach out to you directly on this matter. You should only use the official claim form available here: https://trustwallet.com/claims , if you see the Browser Extension warning notification.
  • NEVER share your secret phrase with anyone, ever. No legitimate member of the Trust Wallet team will ask you for this. This is for your eyes only.