El Instituto Nacional de Estándares y Tecnología (NIST) publicó una publicación sobre una posible vulnerabilidad en la aplicación Binance Trust Wallet para dispositivos iOS. Los expertos señalaron que podría representar una amenaza para los propietarios de billeteras.
La fuente que notificó a la agencia sobre la vulnerabilidad es la organización sin fines de lucro Mitre Corporation. La apelación se encuentra actualmente bajo consideración.
La nota indica que la aplicación Binance Trust Wallet no utiliza correctamente la biblioteca trezor-crypto. Como resultado, como señalan los expertos, el único campo de datos para generar frases mnemotécnicas es la hora del dispositivo.
Esto, a su vez, crea una puerta trasera a través de la cual un atacante puede crear mnemónicos para cada marca de tiempo en un período específico, asociándolos con direcciones específicas, dice la entrada.
En particular, a finales de enero de 2024, los expertos de Milk Sad, citando a SECBIT Labs, publicaron un informe que detalla esta vulnerabilidad. También la vincularon con los hackeos de julio de 2023.
Debido a este fallo, la aplicación utiliza un generador de números pseudoaleatorios (PRNG) “débil” con un estado inicial de 31 bits, explicaron los expertos. Esto hace que la piratería sea mucho más fácil, afirman.