Een potentieel beveiligingslek in de iOS-versie van “Binance Trust Wallet” is geïdentificeerd door het Amerikaanse Nationaal Instituut voor Standaarden en Technologie (NIST), een instantie die best practices en standaarden voor technologie en cybersecurity vaststelt.
Deze kwetsbaarheid, opgenomen in de CVE-database die ernstige problemen registreert die materiële schade of verliezen kunnen veroorzaken of al hebben veroorzaakt, kwam op 8 februari aan het licht en wordt momenteel door NIST onderzocht op de ernst in de praktijk.
Uitgebuit
Volgens de databankvermelding is deze fout al in de praktijk uitgebuit. In juli 2023 maakte het aanvallers mogelijk om beveiligingswoorden te raden en geld te stelen uit digitale portemonnees, vanwege de wijze waarop de trezor-crypto bibliotheek werd gebruikt. “Een aanvaller kan systematisch mnemonics genereren voor elk tijdstempel binnen een toepasselijk tijdsbestek, en deze koppelen aan specifieke portefeuille-adressen om fondsen uit die portefeuilles te stelen,” aldus NIST.
Trust Wallet, overgenomen door Binance in 2018, heeft in 2023 meerdere cyber incidenten meegemaakt, wat resulteerde in meer dan $4 miljoen aan verliezen. Sindsdien heeft Binance zijn eigen Web3-portemonnee gelanceerd. “Trust Wallet is nu een afzonderlijke juridische entiteit die geen deel uitmaakt van de Binance-groep en onafhankelijk van Binance.com opereert,” zei een woordvoerder van Binance in een e-mail. Over de kwetsbaarheid is nog niets gepost op het X-profiel (voorheen Twitter) van Trust Wallet.
Oude kwetsbaarheid
Secbit Labs is gestart met een onderzoek naar de Binance Trust Wallet-app voor iOS na talrijke hacks op Ethereum (ETH) portefeuilles. Het onderzoek bracht een oudere kwetsbaarheid in het genereren van portefeuilles op de iOS-platformversie van Trust Wallet uit 2018 aan het licht, welke gekoppeld werd aan grote diefstallen op 12 juli 2023. Een onafhankelijk onderzoek door Milk Sad vond ten minste 6.572 unieke portefeuille-mnemonics die risico lopen op verlies van fondsen, gebruikmakend van onveilige functies in de “trezor-crypto bibliotheek”.
NIST zal, na afronding van het onderzoek, een basisscore toewijzen aan de kwetsbaarheid van de app, variërend van 0-10, afhankelijk van de ernst ervan.
