Binance ligt de afgelopen maanden nog steeds onder de loep van toezichthouders en instanties. Deze keer is het de beurt aan de Trust Wallet om nauwkeurig te worden onderzocht door het United States National Institute of Standards and Technology. Het instituut heeft inderdaad een potentiële fout gemeld.
Binance: Amerikaans onderzoek naar zijn Trust Wallet – Vulnerability Discovery
Een Amerikaans bureau onderzoekt de iOS-versie van Trust Wallet Trust Wallet is Binance’s “niet-bewarende” portemonnee, die in 2018 door het bedrijf is overgenomen. Beschikbaar op Android en iOS, ondersteunt het meer dan een miljoen tokens en cryptocurrencies, evenals 50 blockchains. Dit is de iOS-versie die momenteel wordt beoordeeld door het National Institute of Standards and Technology.
Het bureau vermoedt dat er een fout in de aanvraag zit. Ze wijst er met name op dat het proces van het genereren van geheugensteuntjes tekortkomingen vertoont:
“De Binance Trust Wallet […] maakt op onjuiste wijze gebruik van de trezor-cryptobibliotheek, wat resulteert in het genereren van geheugensteuntjes waarvoor de tijd die op het apparaat wordt weergegeven de enige bron van entropie is. Dit kan tot economische verliezen leiden, net als de geval met de exploit uit juli 2023.”
Concreet betekent dit dat een kwaadwillende persoon voor elk uur geheugensteuntjes kan genereren (tijdstempel) en deze kan associëren met specifieke adressen om geld uit de betreffende portemonnee te stelen.
Oudere versies van de app kunnen kwetsbaar zijn
De onderzoeksgroep van Secbit Labs bevestigde het bestaan van deze fout, die al sinds 2018 aanwezig zou zijn geweest. Volgens hen zou deze aan de basis hebben gelegen van de grote diefstallen die afgelopen juli plaatsvonden, ook vermeld door het National Institute of Standards and Security technologie. Secbit Labs roept gebruikers daarom op om voorzichtig te zijn:
“Gebruikers die verouderde versies van de app gebruiken, lopen mogelijk nog steeds risico.”
Bovendien benadrukt het rapport dat verschillende huidige portemonnees derivaten zijn van Trust Wallet. Dit suggereert dat zij mogelijk ook deze fout hebben. Momenteel heeft Binance niet op dit onderwerp gereageerd, maar het is waarschijnlijk dat het rapport van het National Institute of Standards and Technology deze kwestie zal verduidelijken.
