Las autoridades cibernéticas de Estados Unidos, incluido el National Institute of Standards and Technology (NIST), están investigando una posible vulnerabilidad en la aplicación para iOS ‘Binance Trust Wallet’. Esta vulnerabilidad podría exponer a los usuarios al robo de fondos a través de suposición de frases nemotécnicas.
Detalles de la vulnerabilidad e implicaciones
Inscrito el 8 de febrero en la base de datos CVE, que enumera problemas graves que pueden causar daños materiales o pérdidas, esta vulnerabilidad se encuentra actualmente bajo investigación por parte del NIST para evaluar su gravedad en el mundo real. Ya se ha aprovechado esta vulnerabilidad, lo que permite a los atacantes generar sistemáticamente frases nemotécnicas para cada marca de tiempo dentro de un período aplicable y vincularlas a direcciones de billeteras específicas para robar fondos.
La aplicación Binance Trust Wallet para iOS en el commit 3cd6e8f647fbba8b5d8844fcd144365a086b629f, git tag 0.0.4 utiliza incorrectamente la biblioteca trezor-crypto y genera frases nemotécnicas para las cuales la hora del dispositivo es la única fuente de entropía, lo que lleva a pérdidas económicas, como se explotó en julio de 2023. Un atacante puede generar sistemáticamente frases nemotécnicas para cada marca de tiempo dentro de un período dado y vincularlas a direcciones de billeteras específicas para robar fondos de esas billeteras.
Agencia NIST
Consecuencias para Trust Wallet
Trust Wallet ha sido víctima de múltiples incidentes cibernéticos en 2023, lo que resultó en pérdidas de más de 4 millones de dólares. Adquirida por Binance en 2018, Trust Wallet ahora es una entidad legal separada que opera de manera independiente a Binance.com, según un portavoz de Binance. Hasta la fecha, Trust Wallet no ha comunicado esta vulnerabilidad a través de su perfil X y Binance ha lanzado su propia billetera Web3.