Binance no ha dejado de estar bajo la lupa de reguladores y organismos en los últimos meses. Esta vez, le ha tocado a su Trust Wallet estar bajo la lupa del Instituto Nacional de Estándares y Tecnología de Estados Unidos. El instituto ha informado de un posible fallo.
Binance: investigación de EE.UU. sobre su Trust Wallet – Vulnerabilidad descubiertaos.
Una agencia estadounidense investiga la versión iOS de Trust Wallet Trust Wallet es el monedero «no custodio» de Binance, adquirido por la compañía en 2018. Disponible en Android e iOS, es compatible con más de un millón de tokens y criptodivisas, así como con 50 blockchains. Es la versión de iOS la que actualmente está siendo revisada por el Instituto Nacional de Estándares y Tecnología.
El organismo sospecha que existe un fallo en la aplicación. En concreto, señala que el proceso de generación de frases mnemotécnicas es defectuoso:
«Binance Trust Wallet […] utiliza incorrectamente la biblioteca trezor-crypto, lo que resulta en la generación de frases mnemotécnicas para las que la hora mostrada en el dispositivo es la única fuente de entropía. Esto puede provocar pérdidas económicas, como ocurrió con el exploit de julio de 2023».
En términos prácticos, esto significa que una persona malintencionada podría generar frases mnemotécnicas para cada hora (timestamp) y asociarlas a direcciones específicas para robar fondos de las carteras en cuestión.
Las versiones antiguas de la aplicación podrían ser vulnerables
El grupo de investigación Secbit Labs ha confirmado la existencia de este fallo, presente desde 2018. Según ellos, estaría detrás de los grandes robos del pasado mes de julio, que también fueron mencionados por el Instituto Nacional de Estándares y Tecnología. Por ello, Secbit Labs pide precaución a los usuarios:
«Los usuarios que utilizan versiones desactualizadas de la aplicación aún podrían estar en riesgo».
Además, el informe señala que varios monederos actuales son derivados de Trust Wallet. Esto sugiere que también podrían tener este fallo. Binance aún no ha respondido al asunto, pero es probable que el informe del Instituto Nacional de Estándares y Tecnología arroje algo de luz sobre el asunto.
