На сайті Національного інституту стандартів та технологій (NIST) з'явився запис про потенційну вразливість у додатку Binance Trust Wallet для пристроїв на базі iOS. Експерти зазначили, що вона може загрожувати власникам гаманців.
Як джерело, яке повідомило агентство про вразливість, вказано некомерційну структуру Mitre Corporation. Звернення знаходиться на етапі розгляду.
У замітці вказано, що Binance Trust Wallet неправильно використовує бібліотеку trezor-crypto. В результаті, як зазначили експерти, єдиним полем даних для створення мнемонічних фраз є час пристрою.
Це, у свою чергу, продукує «лазівку», за допомогою якої зловмисник може створити мнемоніки для кожної мітки в зазначений період, зв'язавши їх з конкретними адресами, йдеться в записі.
Примітно, наприкінці січня 2024 року експерти Milk Sad із посиланням на SECBIT Labs опублікували звіт, в якому детально висвітлюється ця вразливість. Вони також пов'язали її зі зломами у липні 2023 року.
Через цей збій додаток використовує «слабкий» генератор псевдовипадкових чисел (ГПСЧ) з 31-бітовим початковим станом, пояснили експерти. Це значно спрощує злом, вважають вони.