Vulnerabilidade na Trust Wallet gerou pelo menos US$170.000 (cerca de R$860 mil) em prejuízos. Apenas usuários da extensão foram afetados pela falha de segurança.
A equipe do Trust Wallet informou recentemente a sua comunidade sobre uma vulnerabilidade no WebAssembly (WASM) encontrada em novembro de 2022 na biblioteca de código aberto Wallet Core. A vulnerabilidade afetou novos endereços de carteira gerados entre 14 e 23 de novembro de 2022 pelo Trust Wallet Browser Extension. A equipe corrigiu rapidamente a vulnerabilidade e garante que todos os endereços criados após essas datas estão seguros.
Apesar dos esforços, foram detectados dois possíveis exploits, resultando em uma perda total de aproximadamente US$ 170.000 no momento do ataque. A Trust Wallet se comprometeu a reembolsar as perdas elegíveis decorrentes de hacks devido à vulnerabilidade e criou um processo de reembolso para os usuários afetados.
O processo para pedir o reembolso pode ser feito por aqui.
Recomendações de segurança da Trust Wallet:
A equipe do Trust Wallet recomenda que os usuários verifiquem se receberam uma notificação de aviso no Browser Extension. Caso não vejam a notificação, os endereços das carteiras estão seguros e não são afetados pela vulnerabilidade. Se a notificação for exibida, os usuários devem criar um novo endereço de carteira, transferir seus ativos e parar de usar os endereços vulneráveis.
Desenvolvedores de carteiras que utilizam a biblioteca Wallet Core devem garantir que implementaram a versão mais recente do Wallet Core para prevenir que seus aplicativos de sejam afetados pela vulnerabilidade.
A Trust Wallet reforçou seu compromisso com a segurança e a transparência, assumindo a responsabilidade pelos erros e trabalhando para solucionar a situação dos usuários afetados. A empresa também expressou gratidão à equipe de segurança da Binance e à equipe Ledger por sua ajuda no processo de mitigação.
Para obter informações adicionais e esclarecer dúvidas, o Trust Wallet disponibilizou uma seção de perguntas frequentes (FAQ) em seu comunicado oficial.