موسسه ملی استانداردها و فناوری (NIST)، نهادی در وزارت بازرگانی ایالات متحده، در حال حاضر در حال بررسی دقیق یک آسیبپذیری خاص در نسخه iOS برنامه کیف پول Binance Trust است.
این بررسی بر روی یک نقص امنیتی متمرکز است که در صورت بهره برداری، به طور بالقوه می تواند مهاجمان را قادر به دسترسی غیرقانونی و منحرف کردن وجوه از کیف پول های ارز دیجیتال کاربران کند. تمرکز این تحقیق بر این است که چگونه برنامه به طور نادرست از کتابخانه ترزور-کریپتو برای تولید کلمات یادگاری استفاده میکند، که برای تامین منابع مالی کاربران ضروری است، که باید منحصراً در منبع آنتروپی احراز هویت شوند.
این موضوع شبیه به سابقه ای در جولای 2023 است که در آن بهره برداری از آسیب پذیری مشابه منجر به زیان های مالی شد. تلاشهای کنونی NIST با هدف ارزیابی دقیق امکان دستکاری تولید یادگاری برای پیوند دادن آنها به آدرسهای کیف پول خاص، و در نتیجه تسهیل برداشتهای غیرمجاز وجوه است. این تحلیل انتقادی که در 8 فوریه به طور عمومی افشا شد، به دنبال تعیین پیامدهای عملی و میزان تأثیر آسیب پذیری است.
به طور همزمان، پایگاه داده CVE، با حمایت وزارت امنیت داخلی ایالات متحده، به دنبال سیل دسترسی های غیرمجاز به کیف پول های اتر، از طریق Secbit Labs تحقیقی را در مورد کیف پول Trust از طریق Secbit Labs آغاز کرد. این کاوشگر آسیبپذیری را در نسخه Trust Wallet پلتفرم iOS شناسایی کرد که به سال 2018 بازمیگردد و مستقیماً آن را با سرقتهای قابل توجه ثبتشده در 12 ژوئیه 2023 مرتبط میکند.
با وجود سکوت Binance در مورد این نگرانی های امنیتی، تحقیقات مستقل توسط Milk Sad خطر قابل توجهی را آشکار کرده است. این بررسی بیش از 6500 حافظه کیف پول را در معرض خطر بالقوه شناسایی کرد و آسیب پذیری آنها را در استفاده از توابع ناامن در کتابخانه trezor-crypto مشخص کرد. این قرار گرفتن مستقیماً با روشهای مورد استفاده در حوادث سرقت Milk Sad مرتبط است و ماهیت بحرانی این نقص را نشان میدهد.
نتیجه تحقیقات NIST با تخصیص یک امتیاز شدت پایه به آسیب پذیری برنامه، از 0 تا 10، منعکس کننده خطر بالقوه ای است که برای کاربران ایجاد می کند، به اوج خود می رسد. این مرحله در راهنمایی کاربران در مورد شدت نقص امنیتی بسیار مهم است.
رویدادهای اخیر در مورد آسیبپذیری Trust Wallet تنها چالشهایی نیستند که بایننس با آن روبرو شده است. صرافی ارزهای دیجیتال همچنین به شایعات نشت سیستم در پی ادعاهای X در مورد در دسترس بودن دادههای کاربران Binance در GitHub پرداخته است. در رد قاطعانه این ادعاها، بایننس به جامعه خود در مورد یکپارچگی و ایمنی حساب های خود اطمینان داده است و قاطعانه هرگونه نقض را رد کرده است.
در همین حال، همانطور که توسط CNBC گزارش شده است، صدور حکم برای موسس Binance، Changpeng Zhao، به 30 آوریل از تاریخ اصلی 23 فوریه موکول شده است. دلایل این تاخیر فاش نشده است و وکیل ژائو از اظهار نظر خودداری کرده است.
