Читать первым в Telegram-канале «Код Дурова»
Разработчики популярного криптовалютного кошелька Trust Wallet обнаружили уязвимость в своём расширении для браузера, из-за которой у пользователей было похищено активов на сумму в $170 000.
Сообщается, что проблема затронула пользователей, которые создали криптовалютный кошелёк через фирменное браузерное расширение в период с 14 по 23 ноября 2022 года.
Уязвимость была обнаружена в модуле WebAssembly браузерного расширения. Он использовал генератор случайных чисел MT19937 у которого из-за неправильной настройки была ограничена верхняя планка общего количества ключей, из-за чего он генерировал псевдослучайные секретные ключи, которые было возможно подобрать.
Уточняется, что уязвимость затронула только кошельки, которые были созданы через расширение TrustWallet – импортированные из мобильного приложения не пострадали.
Разработчики отмечают, что им известен список пострадавших кошельков и они намерены возместить им все потерянные средства. Для этого они активно рассылают им уведомления в приложении и расширении.
