Narodowy Instytut Standardów i Technologii (NIST) opublikował post na temat potencjalnej luki w aplikacji Binance Trust Wallet na urządzenia z systemem iOS. Eksperci zauważyli, że może to stanowić zagrożenie dla właścicieli portfeli.
Źródłem, które powiadomiło agencję o luce, jest organizacja non-profit Mitre Corporation. Odwołanie jest obecnie rozpatrywane.
W notatce stwierdza się, że aplikacja Binance Trust Wallet nie korzysta poprawnie z biblioteki trezor-crypto. W rezultacie, jak zauważyli eksperci, jedynym polem danych do generowania fraz mnemonicznych jest czas urządzenia.
To z kolei tworzy backdoora, za pomocą którego osoba atakująca może utworzyć mnemoniki dla każdego znacznika czasu w określonym przedziale czasu, powiązując je z określonymi adresami – czytamy we wpisie.
Warto zauważyć, że pod koniec stycznia 2024 r. eksperci Milk Sad, powołując się na SECBIT Labs, opublikowali raport szczegółowo opisujący tę lukę. Powiązali ją również z hackami z lipca 2023 r.
Eksperci wyjaśnili, że z powodu tej usterki aplikacja wykorzystuje „słaby” generator liczb pseudolosowych (PRNG) z 31-bitowym stanem początkowym. Twierdzą, że dzięki temu hakowanie staje się znacznie łatwiejsze.