A carteira de criptomoedas Trust Wallet divulgou uma vulnerabilidade de segurança que resultou em quase US$ 170 mil em perdas para alguns usuários. A vulnerabilidade foi corrigida, de acordo com a empresa.
A Trust Wallet descobriu o problema por meio de seu programa que recompensa usuários que encontram bugs. Um pesquisador de segurança relatou uma vulnerabilidade WebAssembly (WASM) na biblioteca de código aberto Wallet Core em novembro de 2022. Novos endereços de carteira gerados "entre 14 e 23 de novembro de 2022 pela extensão do navegador contêm essa vulnerabilidade", disse a empresa em um comunicado, acrescentando que todos os endereços criados antes e depois dessas datas são seguros.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
— Trust Wallet (@TrustWallet) April 22, 2023
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87
A violação resultou em dois ataques que levaram a uma perda total de quase US$ 170 mil. Aproximadamente 500 endereços vulneráveis permanecem com um saldo de US$ 88 mil, de acordo com um relatório post-mortem. Os usuários afetados receberão um reembolso e assistência na taxa de gas para cobrir os custos das transferências de fundos. De acordo com a Trust Wallet:
"Queremos garantir aos usuários que reembolsaremos as perdas elegíveis de hacks devido à vulnerabilidade, e criamos um processo de reembolso para os usuários afetados. E pedimos aos usuários afetados que movam o saldo restante de aproximadamente US$ 88 mil em todos os endereços vulneráveis o mais rápido possível."
Os usuários que passaram por movimentações anormais de fundos no final de dezembro de 2022 e no final de março de 2023 podem estar entre as vítimas afetadas pelos dois exploits.
A empresa pediu que os clientes afetados criem uma nova carteira e transferiram seus fundos. Os usuários com endereços vulneráveis serão notificados por meio da extensão do navegador Trust Wallet, disse a empresa. Para desenvolvedores que usaram a biblioteca Wallet Core em 2022, a versão mais recente deve ser implementada. Os endereços de carteira afetados da Binance foram previamente notificados por meio da troca de criptomoedas.
Outro ataque recentemente revelado drenou quase US$ 11 milhões em tokens não fungíveis (NFTs) e criptomoedas de vários endereços em 11 blockchains desde dezembro do ano passado, visando veteranos na comunidade cripto. O ataque foi inicialmente atribuído a um exploit na carteira MetaMask, que foi posteriormente negado pela empresa.
Leia mais: