Selon une mise à jour de l'incident partagée par l'entreprise, la vulnérabilité n'a affecté que les nouvelles adresses de portefeuille générées par son extension de navigateur entre le 14 et le 23 novembre 2022. La vulnérabilité pourrait permettre aux attaquants d'exécuter un code malveillant sur les appareils des utilisateurs et de voler leurs fonds.
1/10 Trust Wallet est construit sur la sécurité et la confiance. Nous partageons donc une vulnérabilité affectant les nouvelles adresses créées du 14 au 23 novembre 22 à l'aide de l'extension de navigateur.
Le problème est résolu. La plupart des fonds à risque sont sécurisés. Les utilisateurs concernés doivent prendre les mesures indiquées :
➡️https://t.co/X9AEfqWW87– Trust Wallet (@TrustWallet) 22 avril 2023
Vulnérabilité corrigée, mais perte de 170 000 $.
Trust Wallet a déclaré avoir corrigé la vulnérabilité dans la journée qui a suivi la vérification du rapport de bounty et a publié une mise à jour de sécurité pour son extension de navigateur.
Cependant, malgré les efforts de Trust Wallet, deux vulnérabilités potentielles ont été détectées, entraînant une perte totale d'environ 170 000 dollars au moment de l'attaque.
6/10 Au cours des derniers mois, nous avons poussé agressivement les notifications 1-1 vers les adresses affectées, ce qui a entraîné d'importants transferts de fonds vers des adresses sécurisées en plein élan jusqu'à récemment.
– Trust Wallet (@TrustWallet) 22 avril 2023
Trust Wallet a assuré à ses utilisateurs qu'il paierait les pertes éligibles dues aux attaques dues à la vulnérabilité et a créé un processus de remboursement pour les utilisateurs concernés.
La plateforme a également exhorté les utilisateurs concernés à déplacer les quelque 88 000 dollars restants. dans toutes les directions vulnérables dès que possible.
Les utilisateurs peuvent vérifier si les adresses de leur portefeuille sont vulnérables en ouvrant leur extension de navigateur Trust Wallet et en recherchant une notification d'avertissement.
La société a exhorté les utilisateurs qui voient la notification d'avertissement à créer une nouvelle adresse de portefeuille, à déplacer leurs actifs et à cesser d'utiliser des adresses vulnérables. Elle a également conseillé aux utilisateurs d'éviter les adresses de portefeuille qu'ils n'ont pas créées afin d'empêcher les fraudeurs d'en tirer profit.
Quelles sont les mesures à prendre ?
Trust Wallet a également déclaré que ceux qui ont uniquement utilisé leur application mobile, importé des adresses de portefeuilles dans leur extension de navigateur ou utilisé leur extension de navigateur pour créer un nouveau portefeuille avant le 14 novembre 2022 ou après le 23 novembre 2022, ne sont pas concernés par cette vulnérabilité.
La plateforme a conseillé à ses utilisateurs de se mettre à jour avec la dernière version de l'appli, d'éviter de cliquer sur des liens ou des messages suspects liés à leur compte Trust Wallet, créer des mots de passe forts et d'activer l'authentification à 2 facteurs (2FA), d'éviter de divulguer des informations sensibles telles que des phrases de récupération ou des informations privées. Keys à n'importe qui, et télécharger l'appli Trust Wallet à partir de sources fiables, comme son site web officiel ou sa boutique d'applications.
Pour éviter que son application d'extension de navigateur ne soit affectée par cette vulnérabilité, qui pourrait causer des pertes à ses utilisateurs, Trust Wallet a également conseillé aux développeurs de portefeuilles qui ont utilisé la bibliothèque Wallet Core pour développer des portefeuilles d'extension de navigateur en 2022 de s'assurer qu'ils ont mis en œuvre la dernière version de Wallet. Centre.