Уязвимость WASM, Обновление Инцидента и Рекомендуемые Действия

Уважаемое сообщество Trust Wallet,

Безопасность - это основа нашей работы в Trust Wallet. Мы стремимся предоставлять безопасное программное обеспечение для кошелька и активно сотрудничаем с экспертами индустрии для выявления, устранения и быстрого решения любых уязвимостей. Несмотря на то, что мы прилагаем все усилия, чтобы предотвратить уязвимости, иногда они все же возникают.

В ноябре 2022 года исследователь безопасности сообщил о уязвимости WebAssembly (WASM) в нашей библиотеке с открытым исходным кодом Wallet Core через нашу программу поиска уязвимостей. Наше расширение Trust Wallet Browser Extension использует WASM в Wallet Core, и новые адреса кошельков, созданные между 14 и 23 ноября 2022 года через Browser Extension, содержат эту уязвимость. Мы быстро исправили уязвимость, и все адреса, созданные после этих дат, являются безопасными.

Несмотря на все наши усилия, мы проработали два потенциальных эксплоита, в результате которых было утеряно около 170 000 долларов США на момент атаки. В знак прозрачности и защиты пользователей мы хотим заверить, что мы возместим убытки, вызванные уязвимостью, и создали процесс возмещения для затронутых пользователей. Мы также призываем затронутых пользователей перевести оставшуюся сумму на безопасные адреса как можно скорее.

Рекомендуемые действия для пользователей

Последние версии мобильного приложения Trust Wallet и Browser Extension остаются безопасными и защищенными для использования.

КТО НЕ ЗАТРОНУТ?

Ваши адреса кошельков не подвергаются уязвимости в следующих случаях:

  • Если вы используете только мобильные приложения Trust Wallet.
  • Если вы только импортировали адреса кошельков в Browser Extension.
  • Если вы использовали Browser Extension только для создания нового кошелька до 14 ноября 2022 года или после 23 ноября 2022 года.

Вот что нужно делать:

  • Если вы не видите предупреждающего уведомления, значит, ваши кошельки безопасны и уязвимость не затронула вас.
  • Если вы видите уведомление, вам следует создать новый адрес кошелька и немедленно переместить свои активы и перестать использовать уязвимые адреса. Пожалуйста, не используйте адреса кошелька, которые вы не создали сами, чтобы не стать жертвой мошенников. Пожалуйста, ознакомьтесь с этим руководством по переводу активов.

Для пользователей, которые заметили аномальное движение средств в конце декабря 2022 и в конце марта 2023 года, вы можете быть одними из немногих пострадавших от двух атак. Пожалуйста, внимательно ознакомьтесь с процессом возмещения ущерба, чтобы понять следующие шаги. Это наша лучшая попытка проверить владение затронутыми адресами, и мы возместим средства каждой жертве. У нас есть точный список всех затронутых кошельков.

Рекомендуемые действия для разработчиков кошельков, использующих Wallet Core

Если вы использовали библиотеку Wallet Core для разработки кошельков для расширения браузера в 2022 году, убедитесь, что вы используете последнюю версию Wallet Core, чтобы предотвратить воздействие этой уязвимости на ваше приложение расширения браузера, что может привести к потере средств ваших пользователей. Мы незамедлительно уведомили известных нам разработчиков кошельков, которые используют Wallet Core для кошельков расширения браузера, как только обнаружили уязвимость.

Обработано заявлений жертв: 8 (на 22 апреля 2023 года)

Мы бы хотели выразить нашу искреннюю благодарность исследователю безопасности, который обнаружил и сообщил нам об уязвимости. Его вклад был бесценен в помощи нам обеспечить безопасность кошельков пользователей. Мы обратились за помощью к выдающимся профессионалам отрасли, чтобы оптимизировать лучшие результаты для наших пользователей. В частности, команды Ledger и Binance Security с их обширным опытом в лучших практиках безопасности, предоставили бесценные знания на протяжении всего процесса. Мы хотели бы выразить благодарность за их помощь в решении этого вопроса. Мы чувствуем честь быть частью этого сообщества.

С уважением,

Команда Trust Wallet

——————————————————————————

Часто задаваемые вопросы (ЧЗВ)

Безопасно ли использовать Браузерное расширение?

  • Да. И Браузерное расширение и мобильное приложение безопасны для использования. Мы также недавно опубликовали аудиты безопасности Браузерного расширения, проведенные Certik и Cure53. Просмотрите подробности здесь.

Связана ли уязвимость с массовой потерей кошельков, упомянутой в этом твиттер-посте https://twitter.com/tayvano_/status/1648187031468781568?

  • Нет, это два совершенно независимых события. Ни один из адресов кошельков, пострадавших от этой уязвимости, не был затронут массовой потерей кошельков, упомянутой в твиттере.

Есть ли все еще затронутые кошельки?

  • Да, уязвимыми являются адреса кошельков, независимо от использования приложений или аппаратных средств. Приложение Trust Wallet и браузерное расширение остаются безопасными и надежными для использования. Владельцам затронутых кошельков следует создать новый кошелек и перевести средства на этот новый кошелек (не используйте адреса, предоставленные кем-либо еще) и прекратить использование пораженных адресов.
  • Любые затронутые пользователи с уязвимыми адресами увидят уведомление в своем браузерном расширении Trust Wallet. Мы поможем вам перевести средства со своего затронутого кошелька на новый адрес кошелька или возместим любые потери, вызванные взломом, в соответствии с процессом возмещения.
  • Если вы не получили уведомление, ваш кошелек не был затронут, и дополнительных действий не требуется.

Как вы уведомляли и давали инструкции пользователям затронутых адресов, чтобы перевести средства на другой безопасный кошелек?

  • Мы немедленно информировали пользователей через push-уведомления, предупреждения и руководства по необходимым действиям для обеспечения безопасности их средств. Мы также предоставили выделенную службу поддержки клиентов и помощь с газовой платой для покрытия затрат на перевод средств пользователей. Кроме того, когда мы обнаружили, что финансирование затронутых адресов кошельков происходит от Binance, основываясь на общедоступных данных на блокчейне, мы связались с Binance, чтобы помочь в уведомлении пользователей, сохраняя при этом их конфиденциальность. Важно отметить, что мы серьезно относимся к защите конфиденциальности наших пользователей. Между Binance и Trust Wallet не передавалась личная идентифицирующая информация.

Я вижу предупреждение на моем расширении браузера, что мой кошелек подвержен этой уязвимости. Если я импортирую этот кошелек в другое место, будет ли уязвимость устранена и мой кошелек станет безопасным?

Сколько времени потребовалось для устранения уязвимости?

  • Мы устранили уязвимость в течение одного дня после проверки сообщения о вознаграждении.

Какие платформы пострадали от этой уязвимости?

  • Уязвимость затронула кошельки, созданные в расширении браузера между 14 и 23 ноября 2022 года. Эта уязвимость была специфически связана с реализацией WebAssembly (Wasm) в нашем проекте с открытым исходным кодом Wallet Core и не происходила из самого расширения браузера.

Где находилась уязвимость?

  • Уязвимость произошла в модуле бэкэнда WebAssembly (WASM), расположенном в репозитории с открытым исходным кодом Wallet Core, что затронуло новые кошельки, созданные версиями 0.0.172 и 0.0.182 расширения браузера.

Что вы делаете для обеспечения безопасности в экосистеме Trust Wallet?

  • Мы на 100% обеспечены обеспечением безопасности нашего кошелька для сохранения средств наших пользователей. За последние несколько месяцев мы предприняли значительные дополнительные шаги по улучшению нашей безопасности для сохранения средств пользователей, включая:
  • Увеличение количества аудитов безопасности и покрытия аудита в 5 раз.
  • Вовлечение нескольких сторонних аудиторов высшего уровня, чтобы оценить нашу безопасность. Просмотрите последние отчеты здесь.
  • Запуск функций безопасности, в том числе сканера безопасности, чтобы предупреждать пользователей о рисках.
  • Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашим постмортемом здесь.

Была ли данная уязвимость использована?

  • Да. Мы исправили уязвимость в течение одного дня, однако за короткое время две атаки произошли, что привело к общим потерям в размере 170 000 долларов США.

Почему вы только сейчас сообщаете об этой уязвимости?

  • Обеспечение безопасности кошельков пользователей и предотвращение потенциальных потерь было нашим главным приоритетом, и раннее публичное раскрытие уязвимости поставило бы пользователей под риск немедленных атак и больших потерь. Мы сосредоточились на устранении уязвимости и помощи пользователям в перемещении своих средств, используя различные каналы связи, чтобы сообщить об этой ситуации, не привлекая внимание потенциальных злоумышленников. За последние несколько месяцев мы наблюдали постоянное уменьшение средств в подверженных кошельках, и мы не хотели лишать пользователей времени и возможности принять меры. Теперь, когда большинство средств в подверженных кошельках перемещено в безопасное место пользователями, темп перемещения средств замедляется, а стоимость операций хакеров экономически не обоснована, поэтому мы считаем, что сейчас настал хороший момент для публичного раскрытия с меньшим риском потерь пользовательских средств.

Будет ли Trust Wallet связываться со мной лично?

  • Нет, Trust Wallet не свяжется с вами лично по этому вопросу. Вы должны следовать только официальному процессу запроса заявок, доступному здесь, если вы увидите предупреждение расширения браузера.
  • НИКОГДА не сообщайте свою секретную фразу кому-либо еще. Ни один член команды Trust Wallet не попросит вас об этом. Это только для вас.

Означает ли это, что Trust Wallet был скомпрометирован?

Это было отраслевым явлением, и любой кошелек, созданный с использованием генератора псевдослучайных чисел MT19937, производил уязвимые кошельки. Это не является эксклюзивной проблемой Trust Wallet.