W ostatnich miesiącach Binance nadal znajdowało się pod lupą organów regulacyjnych i agencji. Tym razem przyszła kolej na dokładne zbadanie portfela powierniczego przez Narodowy Instytut Standardów i Technologii Stanów Zjednoczonych. Instytut rzeczywiście zgłosił potencjalną wadę.
Binance: Amerykańskie dochodzenie w sprawie jego portfela powierniczego – odkrycie luk w zabezpieczeniach
Amerykańska agencja przygląda się wersji Trust Wallet na iOS Trust Wallet to portfel „bez depozytu” Binance, nabyty przez firmę w 2018 roku. Dostępny na Androida i iOS, obsługuje ponad milion tokenów i kryptowalut, a także 50 łańcuchy bloków. To jest wersja iOS, która jest obecnie sprawdzana przez Narodowy Instytut Standardów i Technologii.
Agencja podejrzewa istnienie błędu w aplikacji. Zwraca uwagę w szczególności, że proces generowania zdań mnemonicznych ma wady:
„Portfel Binance Trust […] błędnie wykorzystuje bibliotekę trezor-crypto, co skutkuje generowaniem fraz mnemonicznych, dla których jedynym źródłem entropii jest czas wyświetlany na urządzeniu. Może to prowadzić do strat ekonomicznych, podobnie jak miało to miejsce w przypadku przypadek z exploitem z lipca 2023 r.”
Konkretnie oznacza to, że złośliwa osoba może wygenerować frazy mnemoniczne dla każdej godziny (znacznik czasu) i powiązać je z konkretnymi adresami, aby ukraść środki z odpowiednich portfeli.
Starsze wersje aplikacji mogą być podatne na ataki
Grupa badawcza Secbit Labs potwierdziła istnienie tej luki, która miała występować od 2018 roku. Według nich miała ona być przyczyną głównych kradzieży, do których doszło w lipcu ubiegłego roku, o których wspomina także Narodowy Instytut Standardów i Bezpieczeństwa technologia. Dlatego Secbit Labs wzywa użytkowników do zachowania ostrożności:
„Użytkownicy korzystający z nieaktualnych wersji aplikacji nadal mogą być zagrożeni”.
Ponadto w raporcie podkreślono, że kilka obecnych portfeli to pochodne portfela Trust Wallet. Sugeruje to, że mogą one również posiadać tę wadę. Na chwilę obecną Binance nie zareagowało w tej sprawie, ale niewykluczone, że raport Narodowego Instytutu Standardów i Technologii wyjaśni tę kwestię.
