曾获得币安创办人赵长鹏(CZ)亲自加持的TrustWallet在今日发布公告披露,在去年11月,有一名安全研究人员借由漏洞赏金计划,报告TrustWallet开源库WalletCore中存在WebAssembly(WASM)漏洞。
该公告提到,TrustWallet浏览器扩充功能在WalletCore中使用WASM,在去年11月14日至23日期间,通过浏览器扩充功能生成的新钱包地址存在此漏洞,不过TrustWallet已迅速修复漏洞,在这些日期之后生成的地址都是安全的。
然而,TrustWallet仍发现两个潜在漏洞,导致在攻击发生时,造成约17万美元损失。
对此,TrustWallet承诺,将补偿因漏洞造成的骇客攻击损失,为受害用户建立补偿程序,该公告还呼吁受影响用户尽快转移所有易受攻击地址上剩余的约8.8万美元资金。
如何检查是否受漏洞影响?
该公告提到,在以下情况下,用户的钱包地址不会受此漏洞影响:
- 只使用TrustWallet手机app
- 只将钱包地址汇入浏览器扩充功能
- 只是在2022年11月14日之前、或2022年11月23日之后使用浏览器扩充功能建立新钱包的用户
如果用户的钱包为易受攻击地址,用户将在浏览器扩充功能上看到警示通知,建议应创建一个新钱包地址、移动资产,停止使用易受攻击地址,请避免使用不是用户自己所创建的钱包地址,以免被骗子利用。
另外,需注意的是,在2022年12月下旬和2023年3月下旬发现钱包存在异常资金流动的用户,可能是遭受上述提及的两个潜在漏洞攻击的少数受害者之一,TrustWallet将向每个受害者偿还资金,该团队有所有受影响钱包的确切清单。
慢雾:漏洞致钱包私钥有被破解风险
慢雾创办人余弦发推提醒,如果用了TrustWallet浏览器扩充功能,且在2022年11月14日至23日期间创建钱包,那么该钱包就存在风险,本质原因是当时TrustWallet浏览器扩充功能使用的MT19937伪随机数生成器,没有提供足够的随机性,导致私钥可以被破解,目前TrustWallet已披露该风险,所幸损失小。