Sebuah agensi Jabatan Perdagangan Amerika Syarikat sedang menganalisis aplikasi Binance Trust Wallet untuk kelemahan yang boleh membenarkan penyerang mencuri dana dari dompet kripto.
Menurut Institut Piawai dan Teknologi Kebangsaan (NIST) - agensi yang bertugas untuk mempromosikan inovasi dan daya saing industri Amerika Syarikat - versi tertentu aplikasi Binance Trust Wallet "menyalahgunakan pustaka trezor-crypto" untuk menghasilkan perkataan mnemonik yang hanya boleh disahkan pada sumber entropi.
Sumber entropi adalah lokasi fizikal di mana data dihasilkan. NIST mencatatkan bahawa kelemahan serupa telah dieksploitasi pada Julai 2023, menyebabkan kerugian ekonomi. Ia menjelaskan:
"Seorang penyerang boleh secara sistematik menghasilkan mnemonik untuk setiap cap masa dalam jangka masa yang berkenaan, dan mengaitkannya dengan alamat dompet tertentu untuk mencuri dana dari dompet-dompet tersebut."
Maklumat ini diumumkan pada 8 Februari dan kini sedang menunggu analisis untuk menentukan skop sebenar kelemahan ini dalam dunia nyata.
Menurut CVE - program yang disponsori oleh Jabatan Keselamatan Dalam Negeri Amerika Syarikat - Secbit Labs memulakan penyiasatan terhadap aplikasi Binance Trust Wallet untuk iOS setelah banyak dompet Ether (ETH) dijolok. Para penyelidik menjejaki kelemahan generasi dompet yang lebih lama dalam versi platform iOS Trust Wallet dari tahun 2018 dan mengaitkannya dengan pencurian besar pada 12 Julai 2023.
Berkaitan: Inskripsi Bitcoin ditambahkan ke Pangkalan Data Kelemahan Kebangsaan AS
Binance tidak memberikan respons kepada permintaan komen daripada Cointelegraph. Walau bagaimanapun, penyiasatan bebas oleh Milk Sad menemui sekurang-kurangnya 6,572 mnemonik dompet unik yang berisiko kehilangan dana.
Penemuan tersebut mendapati aplikasi Trust Wallet untuk iOS menggunakan kod sumber terbuka untuk menghasilkan dompet mata wang kripto baru dengan menggunakan fungsi-fungsi yang tidak selamat dalam pustaka "trezor-crypto" yang tidak ditujukan untuk pengeluaran. Setelah mengesahkan bahawa dompet yang lemah wujud, ia mendakwa bahawa mereka terlibat dalam pencurian Milk Sad.
Setelah menyelesaikan penyiasatan, NIST akan memberikan skor asas kepada kelemahan aplikasi ini dari 0 hingga 10, bergantung pada tahap keparahannya.