News Trust Wallet bị Mỹ điều tra

Năm 2024 đã chứng kiến sự gia tăng trong hoạt động tiền điện tử, với mức tăng đáng chú ý được quan sát thấy ở Bitcoin và các tài sản kỹ thuật số khác nhau.

​

Tuy nhiên, giữa sự phấn khích xung quanh sự tăng trưởng này, Binance, một công ty chủ chốt trong lĩnh vực tiền điện tử, đã bị giám sát chặt chẽ. Các báo cáo gần đây đã xuất hiện cho thấy rằng một bộ phận của Bộ Thương mại Hoa Kỳ đang điều tra các lỗ hổng tiềm ẩn trong ứng dụng Binance Trust Wallet, gây lo ngại về tính bảo mật tiền của người dùng.

Lỗ hổng​

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), một cơ quan của Hoa Kỳ chuyên hỗ trợ đổi mới và an ninh mạng, đã xác định một phiên bản cụ thể của ứng dụng Binance Trust Wallet có hành vi lạm dụng thư viện trezor-crypto. Việc lạm dụng này có khả năng tạo ra các từ ghi nhớ chỉ có thể được xác minh tại nguồn entropy, tạo ra lỗ hổng mà kẻ tấn công có thể khai thác để đánh cắp tài sản từ ví. NIST cho biết thêm:

“Kẻ tấn công có thể tạo ra các ký hiệu ghi nhớ một cách có hệ thống cho từng dấu thời gian trong khung thời gian áp dụng và liên kết chúng với các địa chỉ ví cụ thể để đánh cắp tiền từ những ví đó”.

Mức độ nghiêm trọng của lỗ hổng này đã khiến nó được đưa vào cơ sở dữ liệu về các lỗ hổng và rủi ro phổ biến (CVE), trong đó liệt kê các vấn đề bảo mật quan trọng có khả năng gây ra tổn hại đáng kể hoặc tổn thất tài chính. Ngoài ra, NIST hiện đang điều tra để đánh giá tác động thực tế của lỗ hổng bảo mật và xác định các biện pháp giảm thiểu thích hợp.

Sự cố an ninh mạng trong quá khứ​

Diễn biến mới nhất này bổ sung thêm một loạt sự cố an ninh mạng đã ảnh hưởng đến Trust Wallet trong quá khứ. Chỉ riêng trong năm 2023, Trust Wallet đã gặp phải nhiều vụ vi phạm. Điều này tiếp tục dẫn đến khoản lỗ vượt quá 4 triệu USD. Được Binance mua lại vào năm 2018, Trust Wallet đã phải chịu sự giám sát chặt chẽ về các biện pháp bảo mật.

Các chức năng không an toàn trong mã nguồn mở​

Hơn nữa, cuộc điều tra về ứng dụng Trust Wallet dành cho iOS đã tiết lộ việc ứng dụng này sử dụng mã nguồn mở để tạo ví tiền điện tử mới, sử dụng các chức năng không an toàn trong thư viện trezor-crypto không dành cho môi trường sản xuất. Đã xuất hiện các cáo buộc liên kết những chiếc ví yếu này với vụ trộm Milk Sad. Điều này càng làm dấy lên mối lo ngại về tính bảo mật của tiền trong hệ sinh thái Ví Trust.