Una agencia del Departamento de Comercio de Estados Unidos (DOC) está analizando la aplicación Binance Trust Wallet para detectar una vulnerabilidad que podría permitir a un atacante robar fondos del criptomonedero.
Según el Instituto Nacional de Estándares y Tecnología (NIST), la agencia del DOC encargada de promover la innovación y la competitividad industrial estadounidense, una versión específica de la aplicación Binance Trust Wallet "hace un uso indebido de la biblioteca trezor-crypto" para generar palabras mnemotécnicas que sólo pueden verificarse en la fuente de entropía.
Una fuente de entropía es una ubicación física desde la que se generan los datos. El NIST señaló que una vulnerabilidad similar fue explotada en julio de 2023, provocando pérdidas económicas. Explicó:
“Un atacante puede generar sistemáticamente mnemónicos dentro de un marco de tiempo aplicable, y vincularlos a direcciones de monederos específicos con el fin de robar fondos de esos monederos.”
La información se hizo pública el 8 de febrero y actualmente está pendiente de análisis para identificar el alcance real de dicha vulnerabilidad.
Según CVE, un programa patrocinado por el Departamento de Seguridad Nacional de EE.UU. (DHS), SECBIT Labs comenzó su investigación sobre la aplicación Binance Trust Wallet para iOS después de que numerosos monederos de Ether (ETH) fueran hackeados. Los investigadores rastrearon una debilidad de generación de monedero más antigua en la versión de Trust Wallet para la plataforma iOS de 2018 y la conectaron a los grandes robos del 12 de julio de 2023.
Binance no respondió a la solicitud de comentarios de Cointelegraph. Sin embargo, una investigación independiente de Milk Sad encontró al menos 6,572 mnemónicos de monederos únicos que corren el riesgo de pérdida de fondos.
Se encontró que la aplicación Trust Wallet para iOS utilizaba un código de fuente abierta para generar nuevos monederos de criptomonedas utilizando funciones inseguras en la "trezor-crypto library" que no estaban destinadas a la producción. Aunque confirmaron que los monederos débiles existen, alegaron su implicación en los robos de Milk Sad.
Una vez finalizada la investigación, el NIST asignará una puntuación base a la vulnerabilidad de la aplicación que oscilará entre 0 y 10, en función de su gravedad.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión