สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ หรือ ANSI ( American National Standards Institute ) กำลังวิเคราะห์แอป Trust Wallet เวอร์ชัน iOS เพื่อหาช่องโหว่ที่อาจนำไปใช้ขโมยเงินจากกระเป๋าเงินดิจิทัลได้
จากการเปิดเผยของ cointelegraph ระบุถึงสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ หรือ ANSI ( American National Standards Institute ) และหน่วยงานของกระทรวงพาณิชย์ของสหรัฐอเมริกา ได้ดำเนินการวิเคราะห์ "แอป Binance Trust Wallet" ในเวอร์ชันเก่าเพื่อหาช่องโหว่ที่อาจทำให้ผู้โจมตีขโมยเงินจากกระเป๋าเงินดิจิทัลได้
ขณะที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) หน่วยงานที่ได้รับมอบหมายให้ส่งเสริมนวัตกรรมของสหรัฐอเมริกาและความสามารถในการแข่งขันทางอุตสาหกรรม ทำการตรวจสอบแอป Trust Wallet ซึ่งมีลักษณะต้องสงสัยว่า “ใช้ไลบรารี trezor-crypto ในทางที่ผิด” เพื่อสร้างคำช่วยจำที่สามารถตรวจสอบและบันทึกย้อนกลับได้
โดย NIST กล่าวถึงแหล่งที่มาของเอนโทรปี คือตำแหน่งทางกายภาพที่ข้อมูลถูกสร้างขึ้น และตั้งข้อสังเกตว่ามีการใช้ช่องโหว่ที่คล้ายกันในเดือนกรกฎาคม พ.ศ. 2566 ซึ่งนำไปสู่ความสูญเสียทางเศรษฐกิจ
“ผู้โจมตีสามารถสร้างระบบช่วยจำสำหรับการประทับเวลาแต่ละรายการอย่างเป็นระบบภายในกรอบเวลาที่เกี่ยวข้อง และเชื่อมโยงไปยังที่อยู่กระเป๋าเงินเฉพาะเพื่อขโมยเงินจากกระเป๋าเหล่านั้น”
ข้อมูลดังกล่าวเผยแพร่สู่สาธารณะเมื่อวันที่ 8 กุมภาพันธ์ และขณะนี้กำลังรอการวิเคราะห์เพื่อระบุขอบเขตของช่องโหว่ในโลกแห่งความเป็นจริง ในการให้สัมภาษณ์กับ Cointelegraph
ขณะที่โฆษกของ Trust Wallet เน้นย้ำว่ามีการระบุการใช้ไลบรารี Trezor ในปี 2561 และมีอยู่สำหรับกระเป๋าเงิน iOS ที่สร้างขึ้นระหว่างเดือนมีนาคม 2561 และได้รับการแก้ไขในเดือนกรกฎาคม 2561 อย่างไรก็ตามในขณะนั้น Trust Wallet เป็นโครงการโอเพ่นซอร์สและยังมีปัญหาในการทดสอบระบบ ส่งผลกระทบต่อการดาวน์โหลด ซึ่งมีจำนวนจำกัดเพียง 10,000 ครั้ง ดังนั้นการคอมมิตและแก้ไขโค้ดทั้งหมดจึงเป็นแบบสาธารณะและโปร่งใสตลอดเวลา
จากข้อมูลของ CVE ซึ่งเป็นโปรแกรมที่ได้รับการสนับสนุนจากกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐอเมริกา และ Secbit Labs ได้เริ่มตรวจสอบแอป Trust Wallet สำหรับ iOS หลังจากกระเป๋าที่เก็บเหรียญ ETH จำนวนมากถูกแฮ็ก ซึ่งนักวิจัยติดตามจุดอ่อนของการสร้างกระเป๋าเงินรุ่นเก่าใน Trust Wallet เวอร์ชันแพลตฟอร์ม iOS ตั้งแต่ปี 2561 และเชื่อมโยงกับการโจรกรรมครั้งใหญ่ในวันที่ 12 กรกฎาคม 2566
ขณะที่ต่อมา โฆษกของ Binance ให้สัมภาษณ์กับ Cointelegraph อัปเดต (15 กุมภาพันธ์ เวลา 12:10 น. UTC) ว่าตอนนี้ Trust Wallet เป็นนิติบุคคลแยกต่างหากที่ไม่ได้เป็นส่วนหนึ่งของกลุ่ม Binance และดำเนินงานอย่างเป็นอิสระจาก Binance.com
การสืบสวนโดย Milk Sad พบว่ามีตัวช่วยจำกระเป๋าสตางค์อย่างน้อย 6,572 รายการที่อาจเสี่ยงต่อการสูญเสียเงินทุน โดยพบว่าพบแอป Trust Wallet สำหรับ iOS โดยใช้โค้ดโอเพ่นซอร์สสำหรับสร้างกระเป๋าสตางค์ cryptocurrency ใหม่ โดยใช้ฟังก์ชันที่ไม่ปลอดภัยใน "ไลบรารี trezor-crypto" ที่ไม่ได้มีไว้สำหรับการใช้งานจริง หลังจากยืนยันว่ามีกระเป๋าสตางค์ที่มีความเสียงอย่างสูงมาก ก็ถูกกล่าวหาว่าพวกเขาเกี่ยวข้องกับการขโมย
อย่างไรก็ตามนอกจาก Trust Wallet แล้วยังมีแอปเก็บสินทรัพย์ดิจิทัลหลายแอปที่อยู่ในกระบวนการตรวจสอบ และเมื่อเสร็จสิ้นการตรวจสอบ NIST จะจัดสรรคะแนนพื้นฐานให้กับแอปต่างๆ จากช่องโหว่ของความปลอดภัยของแอปตั้งแต่ 0-10 โดยจะขึ้นอยู่กับความรุนแรง
