باگ امنیتی تراست ولت و زیان 170 هزار دلاری که به‌جاگذاشت

به گزارش واحد ترجمه ایران دکونومی، کیف پول محبوب ارزهای دیجیتال تراست ولت (Trust Wallet) اخیراً از شناسایی نوعی آسیب‌پذیری امنیتی پرده‌برداری کرده است که منجر به زیانی 170 هزار دلاری برای برخی از کاربران شده است. به گفته این شرکت، این آسیب‌پذیری اکنون برطرف شده است.

بر اساس این گزارش، تراست ولت (Trust Wallet) از طریق برنامه جامع باگ بانتی یا پاداش شناسایی باگ خود متوجه وجود این مشکل شد. یک محقق امنیتی، نوامبر 2022، وجود یک آسیب‌پذیری از نوع WebAssembly را در کتابخانه منبع باز Wallet Core گزارش کرد. این شرکت در بیانیه‌ای اعلام کرد: آدرس‌های کیف پول‌های جدیدی که در تاریخ‌های 14 تا 23 نوامبر 2022 (23 آبان تا  آذر 1401) توسط افزونه مرورگر ایجاد شده‌اند، حاوی این آسیب‌پذیری هستند. کلیه آدرس‌های ایجاد شده قبل و بعد از این بازه زمانی امن هستند.

روز 22 آوریل (2 اردیبهشت)، تراست ولت با انتشار یک سری توییت اعلام کرد:

«تراست ولت بر پایه امنیت و اعتماد ساخته شده است. بنابراین لازم دانستیم اعلام کنیم که نوعی آسیب‌پذیری را شناسایی کرده‌ایم که آدرس‌های جدید ایجاد شده از 14 تا 23نوامبر 2022 با استفاده از افزونه مرورگر را تحت تأثیر قرار داده است. این مشکل اکنون رفع شده است. امنیت بیشتر وجوه تضمین شده است. کاربران مالباخته باید اقدامات لازم را انجام دهند.»

این نقض وقوع دو اکسپلویت را در پی داشت که منجر به زیانی کلی در حدود 170,000 دلار شد. طبق یک گزارش پس از اعلام این خبر، تقریباً 500 آدرس آسیب‌پذیر با موجودی 88,000 دلار همچنان باقی مانده است. بازپرداخت وجوه کاربرانی که تحت تاثیر این اتفاق قرار گرفته‌اند، به‌زودی انجام می‌گیرد. تراست ولت در این خصوص گفته است:

«ما می‌خواهیم به کاربران خود اطمینان دهیم که ضررهای افراد متضرر از حملات هکری ناشی از این آسیب‌پذیری را به‌طور کامل جبران می‌کنیم و در همین راستا، یک فرآیند بازپرداخت برای کاربران آسیب‌دیده ایجاد کرده‌ایم. از کاربران خود خواسته‌ایم که موجودی 88,000 دلاری باقیمانده در تمام آدرس‌های آسیب‌پذیر را در اسرع وقت خارج کنند.”

کاربرانی که در اواخر دسامبر 2022 و اواخر مارس 2023 (اوایل دی 1401 و اوایل فروردین 1402) شاهد جابه‌جایی غیرعادی وجوه خود بوده‌اند، ممکن است از جمله افرادی باشند که تحت تأثیر این دو اکسپلویت قرار گرفته‌اند.

این شرکت از مشتریان آسیب دیده خواست تا یک کیف پول جدید ایجاد کنند و وجوه خود را به آنها انتقال دهند. به گفته این شرکت، کاربرانی که آدرس‌های آسیب‌پذیر دارند از طریق افزونه مرورگر تراست ولت (Trust Wallet) از وجود این آدرس‌ها مطلع خواهند شد. توسعه دهندگانی هم که در سال 2022 از کتابخانه Wallet Core استفاده کرده‌اند، باید آخرین نسخه Wallet Core را پیاده‌سازی کنند. آدرس‌های کیف پول تحت تأثیر بایننس قبلاً از طریق این صرافی رمزارزی از این جریان مطلع شده بودند.

یکی دیگر از اکسپلویت‌هایی که اخیراً خبر آن جنجال زیادی به‌پا کرد، با خروج ۱۱ میلیون دلار از توکن‌های غیرمثلی و ارزهای دیجیتال  از آدرس‌های مختلف در ۱۱ بلاکچین از دسامبر ۲۰۲۲ (دی 1401) همراه شده و بسیاری از فعالان جامعه رمزارزها را هدف قرار داده است. این حمله در ابتدا به اکسپلویت کیف پول متامسک (MetaMask) نسبت داده شد، اما این شرکت بلافاصله این خبر را تکذیب نمود.

سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمی‌گردد.

مترجم:‌ مرضیه مظاهری

ویراستار: تارا هدایتی

منبع: cointelegraph