8 اردیبهشت, 1403 | April, 27, 2024
اخبار اخبار فوری مقالات منتخب سردبیر

آسیب‌پذیری Old Trust Wallet iOS از سال 2018 ممکن است همچنان بر برخی حساب‌ها تأثیر بگذارد.

توسط امیرعلی مددی 171 بدون دیدگاه

به گفته شرکت تحقیقاتی امنیت سایبری SECBIT Labs، حساب‌های Trust Wallet که بین 5 فوریه و 21 اوت 2018 در دستگاه‌های iOS ایجاد شده‌اند، ممکن است همچنان در برابر سوء استفاده‌ها آسیب‌پذیر باشند.

 

طبق گزارش اخیر محققان امنیتی در آزمایشگاه SECBIT، یک آسیب‌پذیری قدیمی در برنامه Trust Wallet iOS ممکن است همچنان افرادی را که با آن حساب ایجاد کرده‌اند – حتی اگر دیگر از Trust Wallet استفاده نکنند – تحت تأثیر قرار دهد. به گفته محققان، این آسیب پذیری فقط از 5 فوریه تا 21 اوت 2018 وجود داشته است و بر حساب های ایجاد شده پس از آن دوره زمانی تاثیری ندارد. با این حال، برخی از کاربران ممکن است از وجود این آسیب‌پذیری بی‌اطلاع باشند و ممکن است همچنان در حال برنامه‌ریزی برای استفاده از کیف پول‌های افشا شده باشند.

 

این آسیب پذیری ناشی از دو تابع فراخوانی شده توسط کیف پول Trust در کتابخانه Trezor است که قرار بود فقط برای آزمایش استفاده شوند. SECBIT ادعا کرد با وجود یادداشت‌های توسعه‌دهنده که توسعه‌دهندگان را نسبت به استفاده از آنها هشدار می‌داد، Trust Wallet به طور تصادفی این عملکردها را در برنامه کیف پول آیفون خود قرار داد. ظاهراً این خطا به مهاجمان اجازه می داد تا کلیدهای خصوصی برخی از کاربران را حدس بزنند و وجوه آنها را سرقت کنند. با توجه به SECBIT، این حساب ها هنوز هم در حال حاضر آسیب پذیر هستند.

 

این آسیب‌پذیری جدید ظاهراً از نقص افزونه مرورگر Trust Wallet که تیم Trezor قبلاً در آوریل 2023 به آن اذعان کرده بود، جدا و متمایز است. Trust Wallet در یک پست وبلاگی در 15 فوریه در پاسخ به ادعاهای SECBIT اظهار داشت که این آسیب‌پذیری تنها چند هزار کاربر را تحت تأثیر قرار می‌دهد که همگی مطلع شدند و به کیف پول‌های جدید مهاجرت کردند. Trust Wallet ادعا کرد که این آسیب‌پذیری را در جولای 2018 اصلاح کرده است و استفاده از برنامه آن در حال حاضر ایمن است.

 

 

SECBIT آسیب پذیری را در برنامه Trust Wallet iOS پیدا می کند:

 

تیم تحقیقاتی گفت که هنگام بررسی یک حمله گسترده به کیف پول‌های رمزنگاری که در 12 ژوئیه 2023 رخ داد و بیش از 200 حساب ارزهای دیجیتال را تحت تأثیر قرار داد، با این نقص مواجه شد. بسیاری از حساب‌های مورد حمله برای ماه‌ها مورد استفاده قرار نگرفته بودند یا در دستگاه‌هایی بدون دسترسی به اینترنت ذخیره شده بودند، که می‌بایست هک آنها را بسیار دشوار می‌کرد. علاوه بر این، قربانیان از بسیاری از برنامه های کیف پول مختلف استفاده می کردند که Trust Wallet و Klever Wallet بیشترین استفاده را داشتند. این امر شناسایی دلایل هک را دشوار کرده است که کنجکاوی محققان را برانگیخته است.

 

پس از بررسی بیشتر، محققان دریافتند که اکثر آدرس‌های قربانیان ابتدا بین ژوئیه و آگوست 2018 وجوه دریافت کرده بودند. با این حال، مدت کوتاهی پس از این کشف، تحقیقات آنها به بن‌بست رسید و آنها به تحقیقات دیگر رفتند. سپس، در 7 آگوست 2023، تیم امنیت سایبری Distrust اعلام کرد که ظاهراً یک آسیب‌پذیری در بیت کوین Libbitcoin Explorer کشف کرده است.

 

برنامه این آسیب‌پذیری Libbitcoin که «Milk Sad» نامیده می‌شود، به مهاجمان اجازه می‌دهد تا کلیدهای خصوصی کاربران را حدس بزنند. پس از خواندن این نقص ادعایی، تیم SECBIT شروع به شک کرد که ممکن است نقص مشابهی باعث حمله 12 جولای شده باشد.

 

محققان تحقیقات را دوباره آغاز کردند و شروع به جستجوی نسخه‌های کد Trust Wallet کردند که از جولای تا آگوست 2018 منتشر شده بود. آنها متوجه شدند که نسخه‌های iOS این برنامه از این دوره از توابع “random32()” و “random_buffer()” از رمزنگاری Trezor استفاده می‌کردند. کتابخانه iOS برای تولید عبارات یادگاری.

 

این توابع دارای یادداشت‌های توسعه‌دهنده بودند که در مورد استفاده از آنها در برنامه‌های تولیدی هشدار می‌دادند. به عنوان مثال، یادداشت‌های random32 () بیان می‌کردند: «کد زیر قرار نیست در یک محیط تولید استفاده شود. […] این فقط برای آزمایش پذیر ساختن کتابخانه گنجانده شده است. […] پیام بالا سعی می کند از هرگونه استفاده تصادفی خارج از محیط آزمایش جلوگیری کند.

 

 

پس از بررسی کد، محققان متوجه شدند که این کد کلماتی را تولید می کند که به اندازه کافی تصادفی نیستند تا از حدس زدن آنها توسط مهاجم جلوگیری کنند. SECBIT ادعا کرد که این بدان معنی است که هر حساب Trust Wallet ایجاد شده در دستگاه iOS در این مدت در معرض خطر تخلیه قرار دارد.

 

SECBIT در گزارش خود ادعا کرد که پایگاه داده ای از آدرس های در معرض خطر ایجاد کرده است که سپس آن را به تیم Trust Wallet ارسال کرده است. همچنین ادعا کرد که این آدرس ها را با قربانیان هک 12 جولای مقایسه کرده است و دریافته است که 83 درصد از قربانیان کیف پول هایی با استفاده از توابع random32 و random_buffer () ساخته اند.

 

وقتی Trust Wallet با این اطلاعات مواجه شد، ظاهراً به SECBIT گفت که قبلاً در سال 2018 به طور خصوصی به کاربران اطلاع داده است. همچنین تأکید کرد که موجودی آدرس‌ها صفر است و بنابراین نمی‌توان نسبت به از دست دادن وجوه هشدار داد. SECBIT ادعا کرد که از Trust Wallet خواسته است تا آسیب پذیری را به طور عمومی اعلام کند، اما Trust Wallet مطابقت نکرده است. این شرکت می‌گوید که یافته‌های خود را تنها پس از اینکه Trust Wallet در افشای عمومی ناکام ماند، منتشر کرد.

 

علیرغم گزارش انتقادی SECBIT اشاره کرد که Trust Wallet منبع باز است، بنابراین ممکن است برخی از توسعه دهندگان کیف پول دیگر کد را فورک کرده و باعث شده کاربرانش آدرس های آسیب پذیر تولید کنند، یا توسعه دهنده کیف پول دیگری ممکن است به طور مستقل همان اشتباه Trust Wallet را انجام داده باشد. با استفاده از کتابخانه Trezor crypto iOS از این دوره برای تولید آدرس‌ها. محققان نظر دادند:

 

البته ممکن است Trust Wallet تنها کسی نباشد که از کتابخانه trezor-crypto سوء استفاده کرده است. ممکن است بسیاری از پروژه های ناشناخته دیگر وجود داشته باشند که دارای آسیب پذیری های مشابه باشند. حتی می‌تواند کتابخانه trezor-crypto را به خاطر تغییر بی‌سر و صدا به یک پیاده‌سازی پیش‌فرض ناامن و ایجاد نقص‌های مرگبار در پروژه‌هایی که از آن به عنوان یک وابستگی اساسی استفاده می‌کنند، سرزنش کند.

 

طبق گزارش SECBIT، Trezor کتابخانه خود را در 16 ژوئیه 2018 به روز کرد و نسخه های آماده تولید این دو عملکرد را اضافه کرد. به گفته محققان، با این وجود، این آسیب‌پذیری همچنان ممکن است بر برخی از کاربرانی که در اوایل سال 2018 حساب‌هایی ایجاد کرده‌اند اما هرگز پولی برای آنها ارسال نکرده‌اند، تأثیر بگذارد.

 

به پاسخ Wallet اعتماد کنید:

 

Cointelegraph برای نظر دادن با Trust Wallet تماس گرفت. در پاسخ، یک نماینده به بیانیه عمومی تیم در 15 فوریه در مورد این موضوع اشاره کرد. در این بیانیه، تیم توسعه تاکید کرد که نسخه فعلی Trust Wallet حاوی این آسیب‌پذیری نیست.

 

سخنگو گفت: “ما می خواهیم به کاربران Trust Wallet اطمینان دهیم که وجوه آنها ایمن است و استفاده از کیف پول ها امن است.” آنها ادامه دادند: «اگرچه یک آسیب‌پذیری قبلی در کد منبع باز ما در اوایل سال 2018 وجود داشت که تنها چند هزار کاربر را تحت تأثیر قرار می‌داد، این آسیب‌پذیری به سرعت با حمایت جامعه امنیتی اصلاح شد – و کاربران آسیب‌دیده مطلع شدند و به قسمت امن منتقل شدند. کیف پول.»

 

Trust Wallet در برابر ادعاهایی مبنی بر عدم اطلاع رسانی کافی به کاربران واکنش نشان داد. سخنگوی Trust Wallet گفت: «بنیانگذار Trust Wallet اقدامات سریع و پیشگیرانه ای را برای اطلاع رسانی به همه کاربران آسیب دیده انجام داد و یک مسیر مهاجرت امن را برای آنها فراهم کرد، تا اطمینان حاصل شود که هیچ کاربری آسیب پذیر نخواهد بود.

 

Trust Wallet همچنین انکار کرد که بیشتر هک‌ها علیه حساب‌هایی بوده که اپلیکیشن آن ایجاد کرده است. تنها “600 آدرس از 2000 آدرس هک شده” در پایگاه داده کاربران آن یافت شد که به این معنی است که بیشتر قربانیان از کاربران Trust Wallet نبودند. Trust Wallet ادعا کرد که از این 600 کاربر، برخی از آنها می توانستند آدرس خود را از برنامه دیگری وارد کنند.

 

برخلاف بیانیه SECBIT مبنی بر اینکه 83 درصد از آدرس‌های قربانیان توسط کد معیوب تولید شده‌اند، Trust Wallet اظهار داشت که «تنها یک سوم آنها آسیب‌پذیری تاریخی Trust Wallet 2018 را دارند». این تیم در گزارش خود، محققان امنیتی را تشویق کرد تا از برنامه پاداش باگ خود استفاده کنند و ادعا کردند که متعهد به حفظ امنیت کیف پول خود هستند.

 

در گزارش 12 ژوئیه 2023، کیف پول Klever همچنین تایید کرد که برخی از قربانیان این حمله از برنامه آن استفاده کرده اند. با این حال، ادعا کرد که همه آدرس‌ها وارد شده‌اند و در اصل توسط Klever ایجاد نشده‌اند.

Cointelegraph برای اظهار نظر با Trezor تماس گرفت. در پاسخ، مدیر ارشد فناوری شرکت، توماش سوشانکا، تاکید کرد که کارکرد هسته اصلی بحث صرفاً برای آزمایش است و نه برای استفاده رسمی از توسعه پروژه:

 

«[عملکرد] دقیقاً همانطور که در کد منبع توضیح داده شده است، قرار نیست از این تابع در یک محیط تولید استفاده شود، و ما هشدارهای صریح در این مورد ارائه می دهیم. این تابع با یک RNG ایمن در خود Trezor جایگزین شده است. این تابع صرفاً برای آزمایش در نظر گرفته شده است. ما متن باز را دوست داریم، اما غیرواقعی است که از ما انتظار داشته باشیم از هرگونه سوء استفاده احتمالی از بسیاری از پروژه هایی که منبع باز داریم جلوگیری کنیم. این پروژه‌ها همان‌طور که هست و بدون هیچ ضمانتی ارائه می‌شوند، همان‌طور که مجوز آنها به وضوح نشان می‌دهد.»

 

در گزارش SECBIT، محققان به کاربران iOS با حساب های Trust Wallet از این بازه زمانی هشدار دادند که به کیف پول های جدید مهاجرت کنند و استفاده از کیف پول های قدیمی را متوقف کنند. آنها اظهار داشتند: “این هشدار دهنده است که کاربران همچنان ممکن است از کیف پول های ایجاد شده در دوره آسیب پذیر استفاده کنند.” “بدون آگاهی از این موضوع، ممکن است با از دست دادن بودجه بیشتری روبرو شوند.”

 

 

 

 

 

 

 

برچسب‌ها:

امیرعلی مددی

نوشته های مرتبط

سرمایه‌گذاران

سرمایه‌گذاران نهادی از اتریوم خارج می‌شوند و به آلتکوین‌های لایه یک رقیب سرازیر می‌شوند

توسط آکادمی مالی حاجی تبار
BMC

BMC: مصرف برق بیت کوین در سه ماهه اول سال 25 درصد کاهش یافته است

توسط آکادمی مالی حاجی تبار

ارز دیجیتال ملی ایران با نام «رمزریال»

توسط آکادمی مالی حاجی تبار

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

وب سایت آکادمی مالی حاجی تبار

support@rezahajitabar.com

09301148252

 

ما را دنبال کنید.