أشياء يجب معرفتها: |
- كان توليد البذور من Trust Wallet معيبًا ، وكان إجمالي الكون 32 بتًا فقط. لقد أنشأنا ملفًا يحتوي على جميع البذور الممكنة.
- لحسن الحظ ، اكتشف Ledger Donjon الثغرة بسرعة كبيرة ومن المحتمل أن يتجنب أحد أكبر عمليات الاختراق في نظام التشفير البيئي. |
في 14 نوفمبر 2022 ، أعلنت Trust Wallet ، وهي محفظة برمجية مستخدمة على نطاق واسع ، عن إطلاق امتداد المتصفح الخاص بها. يسمح بالوصول إلى الأصول الرقمية على العديد من سلاسل الكتل مباشرة من المتصفح ، وهو إضافة طال انتظارها إلى تطبيقات iOS و Android الحالية.
اكتشف Ledger Donjon مؤخرًا ثغرة خطيرة في امتداد المتصفح هذا ، مما يسمح للمهاجم بسرقة جميع أصول أي محفظة تم إنشاؤها باستخدام هذا الامتداد ، دون أي تدخل من المستخدم. من خلال معرفة عنوان الحساب ، من الممكن حساب مفتاحه الخاص على الفور ، ثم الوصول إلى جميع أمواله. فيما يلي تفاصيل الثغرة الأمنية ، وكيف اكتشفها Ledger Donjon ، وتأثيرها بمرور الوقت ، وتقدير للأصول المعرضة للخطر ، وكيف استجابت Trust Wallet لإصلاحها. لكن لنبدأ بتذكر الأساسيات.
كيف يتم إنشاء المحافظ
توليد الانتروبيا أمر صعب. كعلماء ، نحب التكاثر والقدرة على شرح الظواهر بمبادئ السبب والنتيجة. لذلك ، بشكل عام ، من الصعب توليد العشوائية. علاوة على ذلك ، من الصعب إثبات صحة الأرقام العشوائية ، ويمكن لمولد الأرقام العشوائية السيئ ولكن ليس معيبًا نهائيًا أن يخدع المراقب بسهولة. للحصول على عشوائية جيدة ، نحتاج إلى توزيع موحد للبتات والبايتات (وحتى جميع أحجام القطع) وعدم القدرة على التنبؤ. بالنسبة لمراقب التسلسل ، يجب أن يكون من المستحيل الحصول على أي معلومات عن الجزء التالي من التسلسل المراد إنشاؤه.
نظرًا لصعوبة تحقيق هذه الخصائص بشكل لا يصدق ، فإن مساحة العملات المشفرة تحاول تجنب الاعتماد على العشوائية قدر الإمكان - لكننا ما زلنا بحاجة إليها في مرحلة واحدة: عندما ننشئ محفظة جديدة.
ربما تكون معتادًا بالفعل على ذاكري ، الكلمات الإنجليزية من 12 إلى 24 التي تتيح لك الاحتفاظ بنسخة احتياطية من محفظتك (إذا لم يكن الأمر كذلك ، يمكنك التحقق أكاديمية ليدجر مقالة حول هذا الموضوع بالذات).
يشفر هذا ذاكري من 16 إلى 32 بايت من الإنتروبيا ، وفقًا لـ معيار BIP 39 - تعتبر جودة هذا الانتروبيا أمرًا بالغ الأهمية ، حيث ستكون بذرة جميع المفاتيح التي تستخدمها محفظتك في جميع السلاسل ، بعد عملية اشتقاق حتمية تحددها بيب شنومكس و بيب شنومكس المعايير.
هذا المخطط الهرمي المحدد موجود في كل مكان إلى حد كبير اليوم ، مع الأخذ في الاعتبار مدى سهولة قيام المستخدمين بإنشاء نسخة احتياطية من عدد لا نهائي من المفاتيح وإمكانية نقلها (على الرغم من أن BIP 39 "لا يُشجع بالإجماع على التنفيذ"). يعد تجوال Signer ميزة قوية - عندما تفشل محفظتك المفضلة أو تخيب أملك ، يمكنك فقط أن تأخذ ذاكرتك معك (أو حتى أفضل ، جهاز Ledger الخاص بك) ، والتبديل إلى جهاز آخر ، والحفاظ على حريتك المالية والحد من أي تأثير على تعطلها.
لكن مرة أخرى ، يتطلب الأمر مصدر إنتروبيا لا تشوبه شائبة.
نظرة عامة على الثغرة الأمنية
Trust Wallet تعتمد على الثقة في المحفظة الأساسية، مكتبة عبر الأنظمة الأساسية التي تنفذ وظائف محفظة التشفير منخفضة المستوى للعديد من سلاسل الكتل. كان يركز على الهاتف المحمول ، لكنه يستهدف أيضًا Wasm منذ أبريل 2022 (انظر #2132).
في حين أن معظم Trust Wallet Core محمولة ، إلا أن بعض الوحدات والوظائف محددة جدًا للهدف. هذا هو الحال بشكل خاص بالنسبة لجزء التوليد العشوائي الآمن ، والذي يستخدم لإنشاء مواد مشفرة مثل المفاتيح الخاصة ، والذاكرة لمحافظ HD. يستفيد كل تطبيق من مولد الأرقام العشوائية الزائفة (PRNG) الذي يوفره نظام التشغيل:
- لنظام iOS ،
SecRandomCopyBytes
. - بالنسبة إلى Android ، يتم توفير الكون من خلال مثيل
java.security.SecureRandom
.
عادة ما تكون هذه ممارسة جيدة ، حيث من المفترض أن تكون هذه الأوليات آمنة.
واسم الخلفية
هناك فرق مع هدف Wasm. يمكن تشغيل هذه الوحدة في عدة بيئات ، مثل أي متصفح يدعم Wasm أو Node.js. لا توفر هذه الأنظمة الأساسية PRNG قويًا مشتركًا ، ولا يمكن الوصول إلى واجهات النظام "الكلاسيكية" من هذه البيئات. على سبيل المثال ، لا تستطيع وحدة Wasm التي تعمل في Chrome لنظام Linux القراءة مباشرة /dev/urandom
.
لمعالجة هذا الأمر ، تم تنفيذ ما يسمى بـ "المولد العشوائي الآمن" في #2240. يعتمد على العلاقات العامة المصنوعة في emscripten (انظر العلاقات العامة #12240 في emscripten) مكتوبة بدقة لتجنب القراءة /dev/urandom
.
وفقا للمؤلف:
ما نفعله هنا بسيط ، نختتمه std::random_device
مع std::mt19937
وإرجاع قيمة عشوائية uint32 مستوحاة من emscripten-core / emscripten # 12240.
هناك مشكلة مهمة هنا ، والتي تؤدي إلى ثغرة خطيرة في wallet-core بالنسبة لـ Wasm وأي منتج يعتمد عليها: PRNG المستخدم هو Mersenne Twister ، ولا ينبغي استخدامه لأغراض التشفير. علاوة على ذلك ، فإن الإصدار المتخصص mt19937 يأخذ قيمة 32 بت واحدة كمدخلات أولية.
ما هي العواقب هنا؟ تنفذ وحدة Random المخصصة لـ Wasm وظيفتين: random32
الذي ينتج قيمة عشوائية 32 بت ، و random_buffer
الذي يملأ المخزن المؤقت بحجم تعسفي ببيانات عشوائية. في مشروع Wallet Core ، تُستخدم هذه الوظائف حصريًا بواسطة trezor-crypto ، مكتبة التشفير التي طورتها Trezor لضمان تشفير آمن على محافظ أجهزتهم.
الآن ، لنرى كيف يتم إنشاء محافظ HD:
- نقطة الدخول هي HDWallet. يتطلب الأمر قوة وعبارة مرور لحمايته فيما بعد:
https://github.com/trustwallet/wallet-core/blob/3.1.0/src/HDWallet.cpp#L45
هذه الوظائف ثم المكالمات mnemonic_generate
لإنشاء BIP-39 ذاكري:
https://github.com/trustwallet/wallet-core/blob/3.1.0/trezor-crypto/crypto/bip39.c#L55
mnemonic_generate
المكالمات random_buffer
، والذي ينتج مخزنًا مؤقتًا عشوائيًا مملوءًا باستخدام إعصار Mersenne PRNG ، والذي تم تصنيف مثيله للتو:
https://github.com/trustwallet/wallet-core/blob/3.1.0/wasm/src/Random.cpp#L19
نظرًا لأن البذرة 32 بتًا فقط ، فإن إصدار Wasm من wallet-core يسمح فقط بإنشاء 2 ^ 32 (~ 4 مليارات) فن تذكار ممكن. يمكن إنشاء كل هذه فن الإستذكار في غضون ساعتين على جهاز كمبيوتر واحد.
من هناك ، يستطيع المهاجم:
- احسب جميع البذور ، والمفاتيح الخاصة ، ثم عناوين كل عملة مشفرة تتعامل معها Trust Wallet.
- امسح سلاسل الكتل ذات الصلة لاستخراج جميع العناوين المستخدمة.
- احسب التقاطع للحصول على جميع عناوين المحافظ التي أنشأتها Trust Wallet for Wasm ، وسرقة أموالهم.
يستغرق تشغيل مثل هذا الهجوم أكثر من ساعتين ، ولكن يمكن تنفيذه باستخدام عدد قليل من وحدات معالجة الرسومات في أقل من يوم (انظر Medium.com/@johncantrell97/how-i-checked-over-1-trillion-memonics-in-30-hours-to-win-a-bitcoin لتقدير التكلفة. الهجوم أسهل 256 مرة هنا).
تطبيق Trust Wallet امتداد المتصفح
• Trust Wallet امتداد المتصفح هو امتداد للمتصفحات القائمة على Chromium. من الواضح أنها منافس لـ MetaMask ، وتم تصنيفها على أنها "محفظة تشفير آمنة متعددة السلاسل وبوابة لآلاف تطبيقات Web3 اللامركزية (dApps)."
الامتداد مغلق المصدر ، ولكن يمكن تحليل كوده بسهولة. وهو يعتمد على تنفيذ Wasm الضعيف لـ Trust Wallet Core.
عند إنشاء المحفظة ، يُنشئ الامتداد ذاكريًا من 12 كلمة من بذرة عشوائية 128 بت. يتم إنشاء Mnemonic بهذه الطريقة:
HDWallet.create
هو غلاف Wasm الذي تم إنشاؤه تلقائيًا لمُنشئ HDWallet الموضح أعلاه. هذا يعني الضعفاء random_buffer
يتم استخدام الوظيفة ، لذلك يمكن استرداد فن الإستذكار من عنوان المستخدم بهجوم القوة الغاشمة.
يعالج هذا الامتداد الأصول التالية: AVAX و BNB و ETH و MATIC و SOL و TWT.
- تتطابق العناوين مع ETH و BNB و MATIC و AVAX و TWT. هذه عناوين Ethereum قياسية ، تشترك في نفس مسار الاشتقاق (m / 44 '/ 60' / 0 '/ 0/0).
- يستخدم Solana مسار اشتقاق مختلف: m / 44 '/ 501' / 0 '/ 0'.
لاستنزاف أموال جميع مستخدمي امتداد Trust Wallet ، يمكن للمهاجم:
- قم بحساب وتخزين كل ذاكرة ممكنة ، ثم مفتاح خاص لـ Ethereum وعنوان Ethereum ، والتي يمكن إنشاؤها بواسطة هذا الامتداد.
- اجمع كل عناوين Ethereum المستخدمة التي تم إنشاؤها منذ الإصدار الأول من ملحق متصفح Trust Wallet ، وقم بتخزينها محليًا.
- قم بإجراء بحث في قاعدة بيانات العناوين.
- محفظة فارغة بالمفتاح الخاص ، إذا تم استخدام العنوان.
يمكن استنساخ هذه الخطوات لكل سلسلة. نوضح بالتفصيل الآن كيف نفذ Ledger Donjon هذا الهجوم على Ethereum و Binance Smart Chain ، دون ، بالطبع ، استنزاف المحافظ.
مهاجمة Trust Wallet
تسمح الثغرة للمهاجم بحساب ذاكري من أي عنوان محفظة تم إنشاؤها بواسطة امتداد المتصفح. لذلك ، يحتاج المرء إلى حساب تعيين بين فن الإستذكار والعنوان الناتج.
إنشاء جميع العناوين التي يمكن أن ينشئها ملحق Trust Wallet
استنادًا إلى الثغرة الأمنية التي تم شرحها مسبقًا في PRNG ، من الممكن تعداد جميع العناوين (والمفاتيح الخاصة ذات الصلة) التي يمكن أن ينشئها ملحق Trust Wallet. كانت فكرتي هي تخزين كل عنوان ممكن في طاولة كبيرة. بعد ذلك ، من قائمة العناوين المستخرجة من Ethereum blockchain ، يمكن للمرء التحقق مما إذا كانت بعض العناوين موجودة في هذا الجدول. إذا كان الأمر كذلك ، يمكن حساب مفتاحه الخاص.
يستخدم الاشتقاق من الانتروبيا إلى ذاكري ثم إلى عنوان Ethereum آلية الاشتقاق القياسية بيب-32, بيب-39، و بيب-44 التسلسل الهرمي للحساب.
كانت الصعوبة الأولى هي تعداد كل هذه العناوين. يتطلب التحول من بذور PRNG لمعالجة الخطوات التالية:
- جيل الانتروبيا: قم بتهيئة Mersenne Twister بالبذرة ، واسمها 16 مرة لتجميع الانتروبيا الأولية.
- الانتروبيا إلى ذاكري: SHA-256 واحد لحساب المجموع الاختباري النهائي المضمن في الكلمة الأخيرة.
- ذاكري للبذور: يتم تحويل ذاكري إلى بذرة 512 بت باستخدام PKBDF2-HMAC-SHA512 مع 2048 تكرار. يوجد حسابان من SHA-2 لكل عملية تكرار ، وبالتالي فإن التكلفة الإجمالية هي 512 عملية حسابية SHA-4096.
- البذور إلى المفتاح الرئيسي BIP-32: 1 HMAC SHA-512 بتكلفة حسابين SHA-2.
- المفتاح الرئيسي لمفتاح Ethereum الخاص: المفتاح الرئيسي مشتق من m / 44 '/ 60' / 0 '/ 0/0. يتطلب هذا 3 اشتقاقات مفاتيح خاصة للطفل ومشتقات مفتاح طفل عادي.
- تتطلب كل عملية اشتقاق لمفتاح خاص فرعي مقوى حساب HMAC SHA-512 (2 SHA-512) وإضافة واحدة في secp256k1.
- يتطلب كل اشتقاق عادي لمفتاح خاص تابع للطفل اشتقاق مفتاح خاص تابع ، وضرب عددي على secp256k1 لتحويل المفتاح الخاص المقدم في الإدخال إلى مفتاح عام.
- مفتاح Ethereum الخاص المطلوب معالجته: تتطلب هذه الخطوة الأخيرة تحويل مفتاح خاص إلى عام ، وبالتالي مضاعفة عددية أخرى ، وتجزئة Keccak-256.
التكلفة الإجمالية لكل هذه الخطوات إذن هي:
- التهيئة و 16 مكالمة إلى Mersenne Twister
- 1 شا-256
- 4108 شا-512
- 5 نقاط إضافات
- 2 الضرب العددي في secp256k1
أغلى الخطوات هي حسابات SHA-512 والمضاعفات العددية. لجعلها قصيرة ، فإن العملية الشاملة لتحويل بذور PRNG إلى عنوان Ethereum بطيئة. قد يستغرق تشغيل مثل هذا الحساب على وحدة معالجة مركزية واحدة شهورًا ، وربما عدة أسابيع على وحدات المعالجة المركزية التي كانت متوفرة في Donjon. لذلك ، قمنا بتطبيقه باستخدام OpenCL (بناءً على معالج رسومات BIP39 Solver) وتشغيله على وحدتي معالجة رسومات NVIDIA GeForce GTX 2 Ti.
ناتج هذه الأداة عبارة عن ملف كبير يحتوي على جميع عناوين Ethereum التي يمكن أن ينشئها الامتداد. نظرًا لوجود 2 ^ 32 بذرة ممكنة ، وكل عنوان بطول 20 بايت ، فإن هذا الجدول يأخذ 80 جيجا بايت.
من هناك ، تكون عمليات البحث عن الجدول بطيئة: لمطابقة العنوان ، سيتطلب الأمر التكرار خلال كل هذا الجدول الكبير.
لتسريع عمليات البحث هذه ، قمنا بتقسيم الجدول إلى 256 جدولًا أصغر ، وفقًا للبايت الأول من عنوان Ethereum. يحتوي كل جدول على أزواج من بذور PRNG وعنوان Ethereum الناتج عنها.
أخيرًا ، حتى نتمكن من إجراء عمليات بحث سريعة في كل جدول ، قمنا بفرزها وفقًا لعنوان Ethereum. من الممكن الآن إجراء عمليات بحث ثنائية على هذه الجداول: عمليات البحث في هذه الجداول المصنفة رخيصة جدًا.
لتوفير بعض مساحة القرص ، قمنا بتخزين بذور PRNG وأول 8 بايت فقط من كل عنوان Ethereum. آخر 12 بايت ليست ضرورية ، لأن التصادمات لا تذكر في حالة الاستخدام الخاصة بي. يأخذ كل إدخال ثم 12 بايت. ثم تأخذ الجداول الكاملة 48 جيجا بايت.
فيما يلي توقيتات كل خطوة:
باستخدام هذه الجداول ، من الممكن استرداد فن الإستذكار على الفور المستخدمة لإنشاء عنوان. لتقييم تأثير الثغرة الأمنية ، سألني Binance عن 3 عناوين اختبارية قدموها. ها هي النتيجة:
استغرق استرجاع 3 فن الإستذكار والمفاتيح الخاصة بضع مئات من الألف من الثانية. وفقًا لاختباراتنا ، العملية في الواقع سريعة بما يكفي لمعالجة جميع المعاملات في الوقت الفعلي على Ethereum blockchain وكسر جميع العناوين الضعيفة بمجرد استخدامها. عن طريق التخزين المؤقت للعناوين التي تم اختبارها بالفعل ، ينطبق الأمر نفسه على سلاسل الكتل الأخرى مثل BSC. في سيناريو الهجوم هذا ، يمكن للمرء مراقبة المعاملات عند وصولها إلى mempool ، وحساب المفاتيح الخاصة للمرسل أو المستلم في الوقت الفعلي.
سرد جميع عناوين Ethereum المستخدمة
ما نريده هو تقدير العدد الحقيقي للمحافظ الضعيفة ورصيدها. يبدو هذا سهلاً ، نظرًا لأن جميع المعاملات عامة ، وبالتالي فإن جميع العناوين متاحة على blockchain. ومع ذلك ، لا توجد طريقة لاسترداد قائمة العناوين المستخدمة مباشرة.
لقد طبقنا طريقة تتكرر عبر كل كتلة من بلوكشين Ethereum. استخرجنا عناوين المرسل والمستلم لجميع المعاملات ، ومعلمات العنوان لكل مكالمة لعقود ERC-20.
لاحظ أنه باستخدام هذه الطريقة ، يمكن اكتشاف المحافظ المستخدمة فقط: بعض المحافظ الضعيفة التي لم تستقبل الأصول لم تتفاعل أبدًا مع blockchain.
قمنا بفحص blockchain Ethereum بين الكتل 14820000 و 16096000. تم إنشاء Block 14820000 في 21 مايو 2022 ، وبالتالي قبل طلب السحب الذي أضاف الرمز الضعيف في Trust Wallet Core. كان 16096000 هو أحدث كتلة عندما كتبت هذا المنشور.
يبدو أن للعقد العامة حدًا للمعدل ، لذلك استفسرت عن عدة عقد عامة بالتوازي لجمع إجمالي 147,910,120،32,613,317،XNUMX عنوانًا خلال عشرات الساعات. بعد إزالة التكرارات ، نحصل على قائمة تضم XNUMX عنوانًا فريدًا.
تم استخدام نفس الطريقة مع Binance Smart Chain. تم فحص عقد BSC العامة.
تقدير عدد الحسابات المعرضة للخطر
أخيرًا ، تمت كتابة أداة لاختبار ما إذا كان قد تم إنشاء عنوان بواسطة ملحق Trust Wallet. يقوم بالبحث في الجداول التي تم إنشاؤها ، ويحصل على بذرة PRNG ، ومن هناك يحسب ذاكري ومفتاح Ethereum الخاص والعنوان المرتبط.
الحساب سريع جدًا. تم فرز عناوين المرشحين مسبقًا لتقليل الإدخال / الإخراج وإجراء بحث ثنائي متداخل. تستغرق عمليات البحث عن 32 مليون عنوان بضع دقائق باستخدام نص برمجي بسيط من لغة بايثون.
فيما يلي مثال بعنوان مأخوذ من تغريدة عامة الرد على الإعلان عن تمديد Trust Wallet. أخذت هذا كمثال مثل هذا العنوان لم يستعمل أبدا، لذلك أموال المستخدم ليست في خطر.
تم تشغيل الأداة على مجموعة البيانات البالغ عددها 1,873,720،4،22 المفصلة أعلاه. استغرق اختبار جميع العناوين وحساب المفاتيح الخاصة للحسابات الضعيفة XNUMX دقائق و XNUMX ثانية ، لذا فهي رخيصة جدًا.
من خلال هذه القائمة من المفاتيح الخاصة الضعيفة ، من الممكن سرد جميع العناوين المقابلة وأرصدةها ومن الواضح أنها استنزفت ... أثناء التحقيقات التي أجريناها ، كان حوالي 30 مليون دولار في خطر في مرحلة ما ، لكننا لم نرصد جميع السلاسل والرموز مع الوقت الإضافي .
معالجة
2022 ، 17 نوفمبر
تم الإبلاغ عن ثغرة أمنية إلى Binance باستخدام علة برنامج فضله في 2022 ، 17 نوفمبر.
لتأكيد الثغرة الأمنية ، أرسل لنا Binance 3 عناوين وطلب منهم تقديم فن الإستذكار:
هل يمكنك محاولة تشغيل أداتك وتقديم فن الإستذكار لهذه العناوين الثلاثة؟
Wallet 1 – 0xdf6D9547e163D5E7eafBe2FeB24Bfa12A4C913C0
Wallet 2 – 0xE1E0580cb5eA0c0FD034FF2cdfc872ce4493676C
Wallet 3 – 0x02b2Ae981b138F066344774A2AD75225A046c377
شكر!
مع أطيب التحيات.
بمجرد أن يتم حساب جميع العناوين المحتملة مسبقًا ، يكون استرداد الذاكرة من عنوان بسيطًا مثل البحث في جدول 4 مليارات إدخال. تم استرداد فن الإستذكار الثلاثة في 0.2 ثانية:
2022 ، 21 نوفمبر
بعد أيام قليلة ، في الحادي والعشرين من نوفمبر ، فريق Trustwallet ملتزمة علنا على Github الإصلاح لتجنب توليد بذور جديدة معيبة. كنا قلقين تمامًا من أن يلاحظها شخص ما ويستغل الثغرة الأمنية.
2022 نوفمبر
قام فريق Trustwallet بتحديث التطبيق لتحذير المستخدمين ومنعهم من إنتاج بذور معيبة جديدة وإزالة التدفقات المستقبلة.
من هناك ، قمنا بمراقبة الوضع والأموال المعرضة للخطر. بعد أيام قليلة فقط من إصدار هذه المحافظ الضعيفة ، تعرض حوالي 30 مليون دولار للخطر.
2023، مارس
منحنا فريق Trustwallet أعلى مكافأة يقدمونها: 100 ألف دولار
2023 ، 22 أبريل
بعد شهور من انتظار المستخدمين لترحيل أموالهم ، كشف فريق Trustwallet عن الثغرة الأمنية وكتب ملف تشريح. حتى الآن ، لا تزال هناك محافظ بها أموال متبقية يمكن سرقتها (حوالي 100 ألف دولار). وعدت Trust Wallet بسداد الأموال المسروقة.
وفي الختام
توضح هذه الثغرة الأمنية أسوأ سيناريو لخلل تشفير - حسابات مخترقة إلى الأبد.
يعد إنشاء عشوائية جيدة مهمة شاقة - تعتمد أجهزة Ledger على منطق السيليكون المخصص في رقائق البطاقات الذكية المعتمدة لدينا والتي كانت المعيار الذهبي للصناعات الآمنة على مدار الأربعين عامًا الماضية لضمان جودة عالية للعشوائية ومقاومة العبث.
نظرًا لتعقيد الاتصال بمالكي هذه الحسابات وإمكانية استخدام تلك الحسابات المخترقة على جميع أنواع محافظ البرامج والأجهزة المختلفة ، قامت TrustWallet بعمل جيد جدًا في تقليل المخاطر على مستخدميها.
في المستقبل (القريب) (القريب) ، من المحتمل أن تقاتل الروبوتات لتكون أول من يسرق الأموال المودعة في تلك العناوين ، على غرار ما حدث مع محافظ الدماغ في الماضي.
شكر خاص لجان بابتيست بيدرون لإنقاذ العالم. بعد أيام قليلة فقط من إصدار امتداد Trust Wallet ، تعرض ما يقرب من 30 مليون دولار للخطر. كان من الممكن أن يحدث سيناريو مرعب إذا اكتشف المهاجم الثغرة الأمنية بعد شهرين.
أثناء التحقيقات التي أجريناها ، لاحظنا أيضًا أن بعض العناوين كانت ضعيفة أثناء إنشائها قبل وقت طويل من إصدار Trust Wallet. ربما يعني ذلك أن هذه الثغرة الأمنية موجودة في بعض تطبيقات المحفظة الأخرى التي تثير القلق ...
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
- سك المستقبل مع أدرين أشلي. الوصول هنا.
- شراء وبيع الأسهم في شركات ما قبل الاكتتاب مع PREIPO®. الوصول هنا.
- المصدر https://www.ledger.com/blog/funds-of-every-wallet-created-with-the-trust-wallet-browser-extension-could-have-been-stolen
- :لديها
- :يكون
- :ليس
- $ UP
- 1
- 12
- 13
- 14
- 15%
- 2022
- 23
- 24
- 30
- 39
- 40
- 49
- 8
- a
- ماهرون
- فوق
- الوصول
- وفقا
- حسابي
- الحسابات
- التأهيل
- في الواقع
- وأضاف
- إضافة
- العنوان
- عناوين
- بعد
- مرة أخرى
- الكل
- السماح
- السماح
- يسمح
- سابقا
- أيضا
- an
- و
- الروبوت
- أعلن
- اشعارات
- آخر
- أي وقت
- التطبيق
- التطبيقات
- التطبيقات (DApps)
- التطبيقات
- ابريل
- هي
- حول
- البند
- AS
- ممتلكات
- أسوشيتد
- At
- مهاجمة
- المؤلفة
- متاح
- أفاكس
- تجنب
- تجنب
- تجنب
- دعم
- سيئة
- الرصيد
- أرصدة
- على أساس
- الأساسيات
- BE
- كان
- قبل
- يجري
- أقل من
- أفضل
- ما بين
- كبير
- أكبر
- مليار
- binance
- سلسلة Binance الذكية
- زمارة
- حظر
- سلسلة كتلة
- blockchains
- Blocks
- BNB
- البوتات
- هبة
- دماغ
- وصفت
- استراحة
- المتصفح
- المتصفحات
- القوة الغاشمة
- BSC
- العازلة
- علة
- لكن
- by
- دعوة
- دعوات
- CAN
- مرشح
- لا تستطيع
- حقيبة
- معتمدة
- سلسلة
- السلاسل
- رخيص
- التحقق
- طفل
- شيبس
- الكروم
- بوضوح
- الكود
- مشترك
- منافس
- تعقيد
- تسوية
- حساب
- الحسابات
- إحصاء
- الكمبيوتر
- الحوسبة
- أكد
- النتائج
- النظر
- يحتوي
- عقود
- تحويل
- تحول
- تحويلها
- جوهر
- تصحيح
- المقابلة
- التكلفة
- استطاع
- زوجان
- الدورة
- وحدة المعالجة المركزية:
- خلق
- خلق
- يخلق
- حرج
- عبر منصة
- التشفير
- تشفير النظام البيئي
- محفظة تشفير
- العملات المشفرة
- التشفير
- التشفير
- على
- DApps
- البيانات
- قاعدة البيانات
- يوم
- أيام
- اللامركزية
- التطبيقات اللامركزية
- مخصصة
- تعريف
- شرح
- أودعت
- مستمد
- وصف
- على الرغم من
- التفاصيل
- مفصلة
- تفاصيل
- الكشف عن
- المتقدمة
- جهاز
- الأجهزة
- فعل
- فرق
- مختلف
- صعبة
- صعوبة
- رقمي
- الأصول الرقمية
- مباشرة
- مثبط
- اكتشف
- توزيع
- do
- الوقت الضائع
- دزينة
- استنزاف
- التكرارات
- أثناء
- كل
- أسهل
- بسهولة
- سهل
- النظام الإيكولوجي
- جزءا لا يتجزأ من
- عربي
- كاف
- ضمان
- دخول
- البيئات
- ERC-20
- تقدير
- ETH
- ethereum
- Ethereum blockchain
- حتى
- كل
- مثال
- على وجه الحصر
- القائمة
- موجود
- ذو تكلفة باهظة
- شرح
- شرح
- استغلال
- تمديد
- استخراج
- فشل
- مألوف
- FAST
- المفضلة—الحقيبة
- الميزات
- قليل
- حارب
- قم بتقديم
- معبأ
- نهائي
- مالي
- الحرية المالية
- نهاية
- الاسم الأول
- حل
- معيب
- يطفو
- متابعيك
- في حالة
- القوة
- إلى الأبد
- لحسن الحظ
- وجدت
- حرية
- تبدأ من
- وظيفة
- وظيفة
- وظائف
- أموال
- مستقبل
- بوابة
- جمع
- على العموم
- توليد
- ولدت
- توليد
- جيل
- مولد كهربائي
- دولار فقط واحصل على خصم XNUMX% على جميع
- GitHub جيثب:
- ذهبي
- معيار الذهب
- خير
- وحدات معالجة الرسومات
- منح
- ضمان
- الإختراق
- كان
- مقابض
- حدث
- الثابت
- أجهزة التبخير
- محافظ الأجهزة
- مزيج
- يملك
- من هنا
- هنا
- تسلسل
- مرتفع
- أعلى
- ساعات العمل
- كيفية
- لكن
- HTTPS
- قنطار
- i
- فكرة
- مطابق
- if
- يوضح
- فورا
- التأثير
- التنفيذ
- نفذت
- الأدوات
- أهمية
- مستحيل
- in
- لا يصدق
- الصناعات
- اللامحدودية
- معلومات
- في البداية
- إدخال
- موحى
- مثل
- تفاعل
- واجهات
- تقاطع طرق
- إلى
- التحقيقات
- آيفون
- IT
- تكرير
- التكرارات
- انها
- وظيفة
- م
- احتفظ
- القفل
- مفاتيح
- علم
- معرفة
- اسم العائلة
- الى وقت لاحق
- آخر
- يؤدي
- دفتر الحسابات
- اليسار
- أقل
- روافع
- المكتبة
- مثل
- على الأرجح
- مما سيحدث
- لينكس
- قائمة
- محليا
- منطق
- طويل
- وقت طويل
- الذي طال انتظاره
- بحث
- صنع
- جعل
- يصنع
- كثير
- رسم الخرائط
- رئيسي
- مباراة
- مادة
- ماتيتش
- ماكس العرض
- مايو..
- يعني
- Mempool
- MetaMask
- طريقة
- الهجرة
- مليون
- ملايين
- دقيقة
- دقائق
- فن الإستذكار
- وحدة
- الوحدات
- مراقبة
- مراقبة
- المقبلة.
- الأكثر من ذلك
- علاوة على ذلك
- أكثر
- كثيرا
- متعدد السلاسل
- يجب
- my
- قرب
- ضروري
- حاجة
- إحتياجات
- أبدا
- جديد
- التالي
- لا
- العقدة
- نود.جي إس
- العقد
- عادي
- لا سيما
- يلاحظ..
- نوفمبر
- الآن
- عدد
- أرقام
- NVIDIA
- تحصل
- حدث
- of
- عرض
- عرضت
- on
- ONE
- فقط
- تعمل
- نظام التشغيل
- or
- أخرى
- لنا
- الناتج
- على مدى
- الكلي
- أصحاب
- أزواج
- موازية
- المعلمات
- جزء
- الماضي
- مسار
- نفذ
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- من فضلك
- البوينت
- إمكانية
- ممكن
- منشور
- قوي
- pr
- ممارسة
- على وجه التحديد
- يقدم
- جميل
- منع
- سابقا
- مبادئ
- خاص
- المفتاح الخاص
- مفاتيح خاصة
- المحتمل
- المشكلة
- عملية المعالجة
- منتج
- تنفيذ المشاريع
- وعد
- HAS
- حماية
- تزود
- المقدمة
- جمهور
- مفتاح العام
- أغراض
- بايثون
- جودة
- بسرعة
- عشوائية
- العشوائية
- معدل
- الوصول
- حقيقي
- في الوقت الحقيقي
- تسلم
- يستلم
- مؤخرا
- تقليص
- التحيات
- ذات صلة
- الافراج عن
- اعتمد
- المتبقية
- إزالة
- وذكرت
- طلب
- تطلب
- يتطلب
- المقاومة
- نتيجة
- مما أدى
- عائد أعلى
- المخاطرة
- يجري
- تشغيل
- خزنة
- نفسه
- حفظ
- إنقاذ
- سيناريو
- مخطط
- العلماء
- بحث
- تأمين
- أمن
- انظر تعريف
- بذرة
- بذور
- بدا
- مرسل
- أرسلت
- تسلسل
- عدة
- مشاركة
- قصير
- ينبغي
- السيليكون
- مماثل
- الاشارات
- منذ
- عزباء
- حالة
- مقاس
- بطيء
- الأصغر
- سمارت
- سلسلة ذكية
- So
- تطبيقات الكمبيوتر
- SOL
- بعض
- شخص ما
- قريبا
- مصدر
- الفضاء
- تحدث
- متخصص
- محدد
- سرعة
- انقسم
- المسرح
- معيار
- المعايير
- بداية
- خطوة
- خطوات
- لا يزال
- مسروق
- الأموال المسروقة
- متجر
- تخزين
- قوة
- قوي
- هذه
- دعم
- مفترض
- مفاتيح
- نظام
- جدول
- معالجة
- أخذ
- يأخذ
- الهدف
- الأهداف
- مهمة
- فريق
- تجربه بالعربي
- الاختبار
- اختبارات
- من
- شكر
- أن
- •
- أساسيات
- العالم
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- هؤلاء
- الآلاف
- ثلاثة
- عبر
- الوقت
- مرات
- إلى
- اليوم
- الرموز
- استغرق
- أداة
- موضوع
- الإجمالي
- المعاملات
- تحول
- تحول
- خزانة
- الثقة
- الثقة في المحفظة
- محاولة
- اثنان
- TWT
- واسع الانتشار
- فريد من نوعه
- عناوين فريدة
- تحديث
- us
- تستخدم
- مستعمل
- مستخدم
- أموال المستخدم
- المستخدمين
- استخدام
- عادة
- قيمنا
- الإصدار
- جدا
- الضعف
- الضعيفة
- انتظار
- محفظة
- محافظ
- وكان
- طريق..
- we
- Web3
- أسابيع
- كان
- متى
- التي
- في حين
- كامل
- لمن
- على نحو واسع
- سوف
- مع
- بدون
- كلمة
- كلمات
- العالم
- قلق
- أسوأ
- سوف
- مكتوب
- سنوات
- لصحتك!
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت