Những điểm chính:
- Người sáng lập SlowMist tin rằng có nguy cơ khóa cá nhân bị bẻ khóa đối với các ví được mở rộng bằng trình duyệt Trust Wallet và được tạo từ ngày 14 đến 23 tháng 11 năm ngoái.
- Lý do cơ bản là trình tạo số giả ngẫu nhiên MT19937 được sử dụng bởi tiện ích mở rộng trình duyệt Trust Wallet tại thời điểm đó không cung cấp đủ tính ngẫu nhiên.
- Ví Trust tiết lộ rủi ro này, nhưng may mắn thay, tổn thất không đáng kể.
Người sáng lập SlowMist đã tweet rằng nếu bạn sử dụng tiện ích mở rộng trình duyệt Trust Wallet và tạo ví trong khoảng thời gian từ ngày 14 đến ngày 23 tháng 11 năm 2022, thì ví đó sẽ gặp rủi ro.
Lý do cơ bản là trình tạo số giả ngẫu nhiên MT19937 được sử dụng bởi tiện ích mở rộng trình duyệt Trust Wallet tại thời điểm đó không cung cấp đủ tính ngẫu nhiên để khóa riêng tư có thể bị bẻ khóa. Trust Wallet đã tiết lộ rủi ro này, nhưng may mắn thay, tổn thất là nhẹ.
Ví này tuyên bố rằng sau sự cố, nó đã nhanh chóng vá lỗ hổng và tất cả các địa chỉ được tạo sau những ngày này đều an toàn. Tuy nhiên, Trust Wallet vẫn phát hiện ra hai cuộc tấn công tiêu tốn khoảng 170.000 USD.
Trong những tháng qua, nền tảng ví đã tích cực đẩy thông báo 1-1 đến các địa chỉ bị ảnh hưởng, dẫn đến việc chuyển đáng kể sang các địa chỉ an toàn với động lực mạnh mẽ cho đến gần đây.
Đáp lại, Trust Wallet sẽ bù đắp các tổn thất đủ điều kiện từ vụ hack do lỗ hổng và đã tạo ra một quy trình bồi thường cho người dùng bị ảnh hưởng. Tổng số dư hiện tại còn lại của các địa chỉ bị ảnh hưởng là khoảng $88.000.
“Mặc dù đã nỗ lực hết sức để giảm thiểu tổn thất, nhưng chúng tôi đã chủ động xác định hai lỗ hổng có khả năng bị khai thác với tổng thiệt hại là 170.000 USD. Để đảm bảo quyền lợi cho người dùng, chúng tôi đã tạo một quy trình hoàn trả cho những người dùng bị ảnh hưởng để giúp họ hoàn thiện.”
Các phiên bản mới nhất của ứng dụng di động Trust Wallet và Tiện ích mở rộng trình duyệt vẫn an toàn và bảo mật để sử dụng. Nó kêu gọi những người dùng bị ảnh hưởng chuyển tiền càng sớm càng tốt. Tránh sử dụng địa chỉ do người khác cung cấp.
Nếu bạn thấy một thông báo từ nền tảng ví, bạn nên tạo một địa chỉ ví mới, chuyển tài sản của mình ngay lập tức và ngừng sử dụng các địa chỉ dễ bị tấn công. Không sử dụng các địa chỉ ví mà bạn không tạo ra để tránh bị lợi dụng bởi những kẻ lừa đảo.