باگ امنیتی تراست ولت و زیان 170 هزار دلاری که بهجاگذاشت
به گزارش واحد ترجمه ایران دکونومی، کیف پول محبوب ارزهای دیجیتال تراست ولت (Trust Wallet) اخیراً از شناسایی نوعی آسیبپذیری امنیتی پردهبرداری کرده است که منجر به زیانی 170 هزار دلاری برای برخی از کاربران شده است. به گفته این شرکت، این آسیبپذیری اکنون برطرف شده است.
بر اساس این گزارش، تراست ولت (Trust Wallet) از طریق برنامه جامع باگ بانتی یا پاداش شناسایی باگ خود متوجه وجود این مشکل شد. یک محقق امنیتی، نوامبر 2022، وجود یک آسیبپذیری از نوع WebAssembly را در کتابخانه منبع باز Wallet Core گزارش کرد. این شرکت در بیانیهای اعلام کرد: آدرسهای کیف پولهای جدیدی که در تاریخهای 14 تا 23 نوامبر 2022 (23 آبان تا آذر 1401) توسط افزونه مرورگر ایجاد شدهاند، حاوی این آسیبپذیری هستند. کلیه آدرسهای ایجاد شده قبل و بعد از این بازه زمانی امن هستند.
روز 22 آوریل (2 اردیبهشت)، تراست ولت با انتشار یک سری توییت اعلام کرد:
«تراست ولت بر پایه امنیت و اعتماد ساخته شده است. بنابراین لازم دانستیم اعلام کنیم که نوعی آسیبپذیری را شناسایی کردهایم که آدرسهای جدید ایجاد شده از 14 تا 23نوامبر 2022 با استفاده از افزونه مرورگر را تحت تأثیر قرار داده است. این مشکل اکنون رفع شده است. امنیت بیشتر وجوه تضمین شده است. کاربران مالباخته باید اقدامات لازم را انجام دهند.»
این نقض وقوع دو اکسپلویت را در پی داشت که منجر به زیانی کلی در حدود 170,000 دلار شد. طبق یک گزارش پس از اعلام این خبر، تقریباً 500 آدرس آسیبپذیر با موجودی 88,000 دلار همچنان باقی مانده است. بازپرداخت وجوه کاربرانی که تحت تاثیر این اتفاق قرار گرفتهاند، بهزودی انجام میگیرد. تراست ولت در این خصوص گفته است:
«ما میخواهیم به کاربران خود اطمینان دهیم که ضررهای افراد متضرر از حملات هکری ناشی از این آسیبپذیری را بهطور کامل جبران میکنیم و در همین راستا، یک فرآیند بازپرداخت برای کاربران آسیبدیده ایجاد کردهایم. از کاربران خود خواستهایم که موجودی 88,000 دلاری باقیمانده در تمام آدرسهای آسیبپذیر را در اسرع وقت خارج کنند.”
کاربرانی که در اواخر دسامبر 2022 و اواخر مارس 2023 (اوایل دی 1401 و اوایل فروردین 1402) شاهد جابهجایی غیرعادی وجوه خود بودهاند، ممکن است از جمله افرادی باشند که تحت تأثیر این دو اکسپلویت قرار گرفتهاند.
این شرکت از مشتریان آسیب دیده خواست تا یک کیف پول جدید ایجاد کنند و وجوه خود را به آنها انتقال دهند. به گفته این شرکت، کاربرانی که آدرسهای آسیبپذیر دارند از طریق افزونه مرورگر تراست ولت (Trust Wallet) از وجود این آدرسها مطلع خواهند شد. توسعه دهندگانی هم که در سال 2022 از کتابخانه Wallet Core استفاده کردهاند، باید آخرین نسخه Wallet Core را پیادهسازی کنند. آدرسهای کیف پول تحت تأثیر بایننس قبلاً از طریق این صرافی رمزارزی از این جریان مطلع شده بودند.
یکی دیگر از اکسپلویتهایی که اخیراً خبر آن جنجال زیادی بهپا کرد، با خروج ۱۱ میلیون دلار از توکنهای غیرمثلی و ارزهای دیجیتال از آدرسهای مختلف در ۱۱ بلاکچین از دسامبر ۲۰۲۲ (دی 1401) همراه شده و بسیاری از فعالان جامعه رمزارزها را هدف قرار داده است. این حمله در ابتدا به اکسپلویت کیف پول متامسک (MetaMask) نسبت داده شد، اما این شرکت بلافاصله این خبر را تکذیب نمود.
سلب مسئولیت: تلاش ایران دکونومی مبتنی بر ارائه محتوای مفید صرفاً جهت افزایش آگاهی مخاطب است و توصیه مالی محسوب نمیگردد.
مترجم: مرضیه مظاهری
ویراستار: تارا هدایتی
منبع: cointelegraph