Cosa è successo a Trust Wallet
Con questo post pubblicato il 22 aprile, il team ha annunciato che nel periodo compreso tra il 14 e il 23 novembre 2022 era presente un errore all’interno del codice sorgente del portafoglio, che rendeva vulnerabili tutte le seed phrase generate nell’interfaccia browser durante quei 10 giorni. Il bug è stato segnalato da un white-hat hacker, ovvero un hacker che segnala i bug all’interno del codice in cambio di una ricompensa grazie a un programma di Bug Bounty. Tuttavia, nonostante ciò, si sono verificati due importanti exploit che hanno rubato liquidità agli utenti per un controvalore di 170.000$.
Dopo essere stato identificato, il bug è poi stato velocemente risolto ma il team segnala che ci sono ancora 88.000$ all’interno di 500 wallet a rischio creati nel periodo in cui questo era presente all’interno del codice. Nel post pubblicato qualche giorno fa, vengono invitati tutti i possessori di Trust Wallet a verificare se il proprio portafoglio è affetto da questo problema.
Qual è stato il problema e come è stato risolto
La criticità faceva riferimento alla categoria WebAssembly nella libreria open-source wallet core e rendeva la generazione delle seed phrase errata, con un’entropia totale di soli 32 bit. Questa è l’unita per misurare la robustezza di una password, generalmente seed phrase di 24 parole presentano un’entropia di 256 bits. La comunicazione di questo bug è tardata ad arrivare per evitare di ricevere altri attacchi prima che il codice venisse corretto dagli sviluppatori del portafoglio.
Il team, con un thread di tweet, ha spiegato la situazione, indicando quali siano i passaggi necessari da compiere per verificare se si è in possesso di wallet affetti da questo bug.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
— Trust Wallet (@TrustWallet) April 22, 2023
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87
Come ricevere il rimborso
Allo stesso modo, oltre a scusarsi, è anche iniziato il processo per risarcire tutti gli utenti che hanno subito una perdita di capitale. Per richiedere il rimborso bisognerà recarsi su questo sito e completare il procedimento richiesto. Questo è molto semplice, basterà compilare un form che richiede informazioni come l’indirizzo del proprio wallet, l’indirizzo del sospetto hacker che ha rubato i fondi, un nome, una mail e altre informazioni secondarie.
Le linee guida generali segnalate sono che NON si è affetti se:
- Si utilizza solo l’applicazione mobile Trust Wallet.
- Sono stati importati nella estensione per il browser solo indirizzi di portafogli creati da qualche altra parte.
- Si è creata una estensione browser del wallet nel periodo precedente o successivo al 14-23 novembre.
Questa notizia ha scosso tutto il mondo della DeFi, ricordando a tutti che la sicurezza all’interno di questo mondo non è mai troppa e che saper fare autocustodia è il primo passo per investire con cognizione nel mondo Crypto (e permettere a un programma di creare la propria seed phrase è molto lontano dalla sicurezza che vogliamo!).
Per migliorare questo aspetto ti ricordo che è disponibile il corso “Cripto (in)Sicurezza”, per proteggerti e proteggere i tuoi investimenti.
