Уразливість WASM, Новини щодо Інциденту та Рекомендовані Дії

Шановна спільното Trust Wallet,

Безпека - це основа нашої роботи в Trust Wallet. Ми прагнемо надавати безпечне програмне забезпечення для гаманця та активно співпрацюємо з експертами галузі, щоб виявляти, усувати та швидко вирішувати будь-які вразливості. Незважаючи на те, що ми докладаємо всіх зусиль, щоб запобігти вразливостям, іноді вони все ж таки виникають.

У листопаді 2022 року дослідник з безпеки повідомив про вразливість WebAssembly (WASM) в нашій бібліотеці з відкритим вихідним кодом Wallet Core через нашу програму пошуку вразливостей. Наше розширення Trust Wallet Browser Extension використовує WASM в Wallet Core, і нові адреси гаманців, створені між 14 та 23 листопада 2022 року через Browser Extension, містять цю вразливість. Ми швидко виправили вразливість, і всі адреси, створені після цих дат, є безпечними.

Незважаючи на всі наші зусилля, ми виявили два потенційні експлойти, в результаті яких було втрачено приблизно 170 000 доларів США на момент атаки. У знак прозорості та захисту користувачів ми хочемо запевнити, що ми компенсуємо збитки, спричинені вразливістю, і створили процес компенсації для постраждалих користувачів. Ми також закликаємо постраждалих користувачів перевести залишкову суму на безпечні адреси якнайшвидше.

Рекомендовані дії для користувачів

Останні версії мобільного додатку Trust Wallet та Browser Extension залишаються безпечними та захищеними для використання.

ХТО НЕ ПОСТРАЖДАВ?

Ваші адреси гаманців не піддаються вразливості в наступних випадках:

• Якщо ви використовуєте лише мобільні додатки Trust Wallet.
• Якщо ви лише імпортували адреси гаманців у Browser Extension.
• Якщо ви використовували Browser Extension лише для створення нового гаманця до 14 листопада 2022 року або після 23 листопада 2022 року.

Отже, що потрібно зробити:

• Якщо ви не бачите попереджувального повідомлення, означає, що ваші гаманці безпечні і вразливість вас не стосується.
• Якщо ви бачите повідомлення, вам слід створити нову адресу гаманця і негайно перемістити свої активи та припинити використовувати вразливі адреси. Будь ласка, не використовуйте адреси гаманця, які ви не створювали самостійно, щоб не стати жертвою шахраїв. Будь ласка, детальніше ознайомтеся з цим посібником з перекладу активів.

Для користувачів, які помітили аномальний рух коштів наприкінці грудня 2022 року та наприкінці березня 2023 року, ви можете бути одними з небагатьох постраждалих від двох атак. Будь ласка, уважно детальніше ознайомтеся з процесом компенсації збитків, щоб зрозуміти наступні кроки. Це наша найкраща спроба перевірити володіння пошкодженими адресами, і ми компенсуємо кошти кожній жертві. У нас є точний список всіх затронутих гаманців.

Рекомендовані дії для розробників гаманців, які використовують Wallet Core

Якщо ви використовували бібліотеку Wallet Core для розробки гаманців для розширення браузера в 2022 році, переконайтеся, що ви використовуєте останню версію Wallet Core, щоб запобігти впливу цієї вразливості на ваш додаток розширення браузера, що може призвести до втрати коштів вашими користувачами. Ми негайно повідомили про вразливість відомих розробників гаманців, які використовують Wallet Core для гаманців розширення браузера.

Звернень від жертв оброблено: 8 (на 22 квітня 2023 року)

Ми хотіли б висловити нашу щирість подяку досліднику з безпеки, який виявив і повідомив нам про вразливість. Його внесок був безцінним у допомозі нам забезпечити безпеку гаманців користувачів. Ми звернулися за допомогою до видатних професіоналів галузі, щоб оптимізувати найкращі результати для наших користувачів. Зокрема, команди Ledger та Binance Security з їх великим досвідом у найкращих практиках безпеки надали безцінні знання протягом усього процесу. Ми хотіли б висловити подяку за їх допомогу у вирішенні цього питання. Ми відчуваємо честь бути частиною цієї спільноти.

З повагою,

Команда Trust Wallet

Часто задаваемі питання

Чи безпечно використовувати Браузерний розширення?

• Так. Як Браузерне розширення, так і мобільний додаток є безпечними для використання. Ми також недавно опублікували аудити безпеки Браузерного розширення, проведені Certik та Cure53. Ознайомтеся з подробицями тут.

Чи пов’язана вразливість з масовою втратою гаманців, згаданою в цьому твіттер-пости https://twitter.com/tayvano_/status/1648187031468781568?

• Ні, це дві абсолютно незалежні події. Жоден з адрес гаманців, постраждалих від цієї вразливості, не був задіяний в масовій втраті гаманців, згаданій в твіттері.

Чи є ще затронуті гаманці?

• Так, адреси гаманців є вразливими, незалежно від використання додатків чи апаратних засобів. Додаток Trust Wallet та Браузерне розширення залишаються безпечними та надійними для використання. Власникам затронутих гаманців слід створити новий гаманець та перемістити кошти на цей новий гаманець (не використовуйте адреси, надані кимось іншим) та припинити використання поразених адрес.
• Будь-який користувач з уразливимими адресами побачить повідомлення в своєму браузерному розширенні Trust Wallet. Ми допоможемо вам перевести кошти з вашого пошкодженого гаманця на новий адрес гаманця або компенсуємо будь-які втрати, що виникли в результаті вторгнення, згідно з процесом компенсації.
• Якщо ви не отримали повідомлення, ваш гаманець не пошкоджено, і додаткові дії не потрібні.

Як ви повідомляли та давали інструкції користувачам з пошкодженими адресами, щоб перевести кошти на інший безпечний гаманець?

• Ми негайно повідомляли користувачів через push-сповіщення, попередження та посібники щодо необхідних дій для забезпечення безпеки їх коштів. Ми також надали відділ підтримки клієнтів та допомогу з газовою платою для покриття витрат на переказ коштів користувачів. Крім того, коли ми виявили, що фінансування пошкоджених адрес гаманців відбувається з Binance, на основі загальнодоступних даних на блокчейні, ми зв’язалися з Binance, щоб допомогти повідомити користувачів, зберігаючи при цьому їх конфіденційність. Важливо зауважити, що ми серйозно ставимося до захисту конфіденційності наших користувачів. Між Binance та Trust Wallet не передавалась особиста ідентифікуюча інформація.

Якщо я бачу попередження на моєму розширенні браузера, що мій гаманець піддається цій вразливості. Якщо я імпортую цей гаманець в інше місце, вразливість буде виправлена і мій гаманець стане безпечним?

• Ні, оскільки імпорт/відновлення вразливого гаманця залишає його вразливим. Будь ласка, дотримуйтесь інструкції з перекладу ваших активів на новий гаманець. І припиніть використовувати затронуту адресу гаманця.

Скільки часу знадобилося для виправлення вразливості?

• Ми виправили вразливість протягом одного дня після перевірки повідомлення про винагороду.

Які платформи постраждали від цієї вразливості?

• Вразливість стосувалася гаманців, створених в розширенні браузера між 14 та 23 листопада 2022 року. Ця вразливість була специфічно пов’язана з реалізацією WebAssembly (Wasm) в нашому проекті з відкритим кодом Wallet Core і не виникала з самого розширення браузера.

Де була вразливість?

• Вразливість виникла у модулі бекенду WebAssembly (WASM), розташованому в репозиторії з відкритим вихідним кодом Wallet Core, що стосувалося нових гаманців, створених версіями 0.0.172 та 0.0.182 розширення браузера.

Що ви робите для забезпечення безпеки в екосистемі Trust Wallet?

• Ми на 100% забезпечені забезпеченням безпеки нашого гаманця для збереження коштів наших користувачів. За останні кілька місяців ми вжили значних додаткових кроків для покращення нашої безпеки для збереження коштів користувачів, включаючи:
• Збільшення кількості аудитів безпеки та покриття аудиту в 5 разів.
• Залучення декількох сторонніх аудиторів найвищого рівня, щоб оцінити нашу безпеку. Перегляньте останні звіти тут.
• Запуск функцій безпеки, зокрема сканера безпеки, щоб попереджувати користувачів про ризики.
• Для отримання додаткової інформації, будь ласка, ознайомтеся з нашим пост-мортемом тут.

Чи була використана дана вразливість?

• Так. Ми виправили вразливість протягом одного дня, проте за короткий час сталося дві атаки, що призвели до загальних втрат у розмірі 170 000 доларів США.

Чому ви повідомили про цю уразливість лише зараз?

Забезпечення безпеки гаманців користувачів та запобігання можливих втрат було нашим головним пріоритетом, і раннє публічне розкриття уразливості поставило б користувачів під ризик негайних атак та великих втрат. Ми сконцентрувалися на усуненні уразливості та допомозі користувачам у переміщенні своїх коштів, використовуючи різні канали зв’язку, щоб повідомити про цю ситуацію, не привертаючи уваги потенційних зловмисників. За останні кілька місяців ми спостерігали постійне зменшення коштів в підвернутих гаманцях, і ми не хотіли позбавляти користувачів часу та можливості прийняти заходи. Зараз, коли більшість коштів в підвернутих гаманцях переміщені в безпечне місце користувачами, темп переміщення коштів сповільнюється, а вартість операцій хакерів економічно не обґрунтована, тому ми вважаємо, що зараз настав гарний момент для публічного розкриття з меншим ризиком втрат коштів користувачів.

Чи зв’яжеться Trust Wallet зі мною особисто?

Ні, Trust Wallet не зв’яжеться з вами особисто щодо цього питання. Ви повинні слідувати тільки офіційному процесу запиту заявок, доступному тут, якщо ви побачите попередження розширення браузера.

Це означає, що Trust Wallet був скомпрометований?

Це було проблемою в галузі і будь-який гаманець, створений за допомогою генератора псевдовипадкових чисел MT19937, створював вразливі гаманці. Це не є ексклюзивною проблемою Trust Wallet.