A Trust Wallet, uma das carteiras de criptomoedas mais populares do mercado, revelou que identificou e corrigiu uma vulnerabilidade significativa do WebAssembly (WASM) em sua biblioteca principal.
O incidente de segurança afetou endereços da carteira de Ethereum e outras blockchains gerados por meio da extensão do navegador Trust Wallet entre 14 e 23 de novembro de 2022. O projeto confirmou a correção no Twitter e garantiu aos usuários que a maioria dos fundos em risco estão agora protegidos.
A empresa relatou que a vulnerabilidade de segurança levou à perda de US$ 170.000 em fundos de usuários. De acordo com um tópico em seu Twitter oficial, um pesquisador de segurança anônimo relatou o risco de segurança em novembro de 2022 por meio do programa de recompensas de bugs da empresa.
1/10 Trust Wallet is built on security & trust. So we're sharing a vulnerability affecting new addresses created Nov 14-23,22 using the Browser Extension.
The issue is fixed. Most at-risk funds are secured. Affected users should take actions outlined:
➡️https://t.co/X9AEfqWW87— Trust Wallet (@TrustWallet) April 22, 2023
Quem foi afetado?
Em uma postagem oficial em seu blog, a Trust Wallet enfatizou que a vulnerabilidade não afetou os usuários que usaram exclusivamente o aplicativo móvel Trust Wallet, carteiras importadas para a extensão do navegador usando frases iniciais de outros aplicativos de carteira ou criaram novos endereços de carteira por meio da extensão antes de 14 de novembro ou após 23 de novembro de 2022.
Se você é um usuário da Trust Wallet, seus fundos não correm risco se:
- Você usa apenas o aplicativo móvel;
- Você importou apenas endereços para a extensão do navegador Trust Wallet (não criada);
- Você criou uma nova carteira antes de 14 de novembro ou depois de 23 de novembro de 2022.
Segundo o comunicado da empresa, se os endereços da sua carteira estiverem vulneráveis, você verá uma notificação na extensão do navegador.
Se você ver tal notificação, crie um novo endereço de carteira e mova imediatamente seus ativos e pare de usar os endereços vulneráveis. A Trust Wallet reforça que os usuários devem evitar usar endereços de carteira que você não criou para evitar ser roubado por golpistas.
A Trust Wallet também anunciou planos para reembolsar os usuários afetados, que receberão notificações por meio da extensão do navegador.
Para evitar ainda mais problemas, a equipe da Trust Wallet incentivou os usuários a atualizar suas carteiras para a versão mais recente do aplicativo. Ao mesmo tempo, quaisquer e-mails, links ou mensagens suspeitos devem ser tratados com a máxima vigilância.
A empresa também esclareceu que o problema não tem relação a um recente incidente de segurança destacado pelo fundador da MyCrypto, Taylor Monahan, no qual ela alegou que mais de 5.000 ETH (no valor de R$ 50 milhões) foram misteriosamente roubados de várias carteiras de usuários.