Trust Wallet被爆私钥漏洞已被黑17万美元!官方:将赔偿受害者

曾获得币安创办人赵长鹏(CZ)亲自加持的Trust Wallet在今日发布公告披露，在去年11月，有一名安全研究人员借由漏洞赏金计划，报告Trust Wallet开源库Wallet Core中存在Web Assembly(WASM)漏洞。

该公告提到，Trust Wallet浏览器扩充功能在Wallet Core中使用WASM，在去年11月14日至23日期间，通过浏览器扩充功能生成的新钱包地址存在此漏洞，不过Trust Wallet已迅速修复漏洞，在这些日期之后生成的地址都是安全的。

然而，Trust Wallet仍发现两个潜在漏洞，导致在攻击发生时，造成约17万美元损失。

对此，Trust Wallet承诺，将补偿因漏洞造成的骇客攻击损失，为受害用户建立补偿程序，该公告还呼吁受影响用户尽快转移所有易受攻击地址上剩余的约8.8万美元资金。

如何检查是否受漏洞影响？

该公告提到，在以下情况下，用户的钱包地址不会受此漏洞影响：

• 只使用Trust Wallet手机app
• 只将钱包地址汇入浏览器扩充功能
• 只是在2022年11月14日之前、或2022年11月23日之后使用浏览器扩充功能建立新钱包的用户

如果用户的钱包为易受攻击地址，用户将在浏览器扩充功能上看到警示通知，建议应创建一个新钱包地址、移动资产，停止使用易受攻击地址，请避免使用不是用户自己所创建的钱包地址，以免被骗子利用。

另外，需注意的是，在2022年12月下旬和2023年3月下旬发现钱包存在异常资金流动的用户，可能是遭受上述提及的两个潜在漏洞攻击的少数受害者之一，Trust Wallet将向每个受害者偿还资金，该团队有所有受影响钱包的确切清单。

慢雾：漏洞致钱包私钥有被破解风险

慢雾创办人余弦发推提醒，如果用了Trust Wallet浏览器扩充功能，且在2022年11月14日至23日期间创建钱包，那么该钱包就存在风险，本质原因是当时Trust Wallet浏览器扩充功能使用的MT19937伪随机数生成器，没有提供足够的随机性，导致私钥可以被破解，目前Trust Wallet已披露该风险，所幸损失小。