Những điều cần biết: |
– Quá trình tạo hạt giống của Trust Wallet bị thiếu sót, tổng số entropy chỉ là 32 bit. Chúng tôi đã tạo một tệp chứa tất cả các hạt giống có thể.
– May mắn thay, Ledger Donjon đã phát hiện ra lỗ hổng rất nhanh và có khả năng tránh được một trong những vụ hack lớn nhất trong hệ sinh thái tiền điện tử. |
Vào ngày 14 tháng 2022 năm XNUMX, Trust Wallet, một ví phần mềm được sử dụng rộng rãi, đã thông báo về việc phát hành tiện ích mở rộng cho trình duyệt của mình. Nó cho phép truy cập vào các tài sản kỹ thuật số trên một số chuỗi khối trực tiếp từ trình duyệt và là một bổ sung được chờ đợi từ lâu cho các ứng dụng iOS và Android hiện có.
Ledger Donjon gần đây đã phát hiện ra một lỗ hổng nghiêm trọng trong tiện ích mở rộng trình duyệt này, cho phép kẻ tấn công đánh cắp tất cả tài sản của bất kỳ ví nào được tạo bằng tiện ích mở rộng này mà không cần bất kỳ tương tác nào của người dùng. Khi biết địa chỉ của một tài khoản, có thể ngay lập tức tính toán khóa riêng tư của tài khoản đó, sau đó truy cập vào tất cả các khoản tiền của tài khoản đó. Dưới đây là thông tin chi tiết về lỗ hổng, cách Ledger Donjon phát hiện ra lỗ hổng, tác động của nó theo thời gian, ước tính các tài sản dễ bị tổn thương và cách Trust Wallet phản ứng để khắc phục lỗ hổng. Nhưng hãy bắt đầu với việc nhớ lại những điều cơ bản.
Ví được tạo ra như thế nào
Tạo entropy là khó khăn. Là nhà khoa học, chúng tôi thích khả năng tái tạo và có thể giải thích các hiện tượng bằng nguyên tắc nhân quả. Vì vậy, nói chung rất khó để tạo ra sự ngẫu nhiên. Hơn nữa, thật khó để chứng minh rằng các số ngẫu nhiên là chính xác và một trình tạo số ngẫu nhiên xấu nhưng không có sai sót cuối cùng có thể dễ dàng đánh lừa người quan sát. Để có tính ngẫu nhiên tốt, chúng ta cần phân phối bit và byte đồng đều (và thậm chí tất cả kích thước khối) và không thể đoán trước. Đối với một người quan sát trình tự, không thể có bất kỳ thông tin nào về phần tiếp theo của trình tự được tạo.
Vì các thuộc tính này cực kỳ khó đạt được, không gian tiền điện tử cố gắng tránh dựa vào tính ngẫu nhiên nhiều nhất có thể – nhưng chúng tôi vẫn cần nó ở một giai đoạn: khi chúng tôi tạo ví mới.
Có thể bạn đã quen thuộc với khả năng ghi nhớ của mình, 12 đến 24 từ tiếng Anh cho phép bạn sao lưu ví của mình (nếu không, bạn có thể kiểm tra Học viện Ledger bài viết về chủ đề này).
Thuật ngữ ghi nhớ này mã hóa 16 đến 32 byte entropy, theo tiêu chuẩn BIP39 – chất lượng của entropy này rất quan trọng, vì nó sẽ là nguồn gốc của tất cả các khóa được ví của bạn sử dụng trên tất cả các chuỗi, tuân theo quy trình phái sinh xác định được xác định bởi GDP 32 và GDP 44 tiêu chuẩn.
Sơ đồ Quyết định Phân cấp này ngày nay khá phổ biến, xem xét việc người dùng dễ dàng tạo bản sao lưu vô số khóa và tính di động của nó như thế nào (mặc dù BIP 39 “nhất trí không được khuyến khích triển khai”). Chuyển vùng của người đăng ký là một tính năng mạnh mẽ – khi ví yêu thích của bạn bị lỗi hoặc thất vọng, bạn có thể mang theo trí nhớ của mình (hoặc thậm chí tốt hơn là thiết bị Ledger của bạn), chuyển sang một ví khác, giữ tự do tài chính của bạn và hạn chế mọi tác động của thời gian ngừng hoạt động.
Nhưng một lần nữa, nó đòi hỏi một nguồn entropy hoàn hảo.
Tổng quan về lỗ hổng
Trust Wallet dựa vào Lõi ví Trust, một thư viện đa nền tảng triển khai chức năng ví tiền điện tử cấp thấp cho nhiều chuỗi khối. Nó tập trung vào thiết bị di động, nhưng nó cũng nhắm mục tiêu Wasm kể từ tháng 2022 năm XNUMX (xem #2132).
Mặc dù hầu hết Trust Wallet Core đều có thể mang theo được, nhưng một vài mô-đun và chức năng rất cụ thể cho một mục tiêu. Đây là trường hợp đáng chú ý đối với phần tạo ngẫu nhiên an toàn, được sử dụng để tạo tài liệu mật mã như khóa riêng và ghi nhớ cho ví HD. Mỗi triển khai đều tận dụng trình tạo số giả ngẫu nhiên (PRNG) do hệ điều hành cung cấp:
- Đối với iOS,
SecRandomCopyBytes
Được sử dụng. - Đối với Android, entropy được cung cấp bởi một phiên bản của
java.security.SecureRandom
.
Đây thường là một thực hành tốt, vì những nguyên thủy như vậy được cho là an toàn.
chương trình phụ trợ wasm
Có một sự khác biệt với mục tiêu Wasm. Mô-đun này có thể chạy trên một số môi trường, chẳng hạn như bất kỳ trình duyệt nào hỗ trợ Wasm hoặc Node.js. Các nền tảng này không cung cấp PRNG mạnh chung và người ta không thể truy cập vào các giao diện hệ thống “cổ điển” từ các môi trường này. Ví dụ: mô-đun Wasm chạy trong Chrome dành cho Linux không thể đọc trực tiếp /dev/urandom
.
Để giải quyết vấn đề này, cái gọi là "trình tạo ngẫu nhiên an toàn" chuyên dụng đã được triển khai trong #2240. Nó dựa trên PR được tạo trong emscripten (xem PR #12240 trong emscripten) được viết chính xác để tránh đọc /dev/urandom
.
Theo tác giả:
Những gì chúng tôi làm ở đây rất đơn giản, chúng tôi bọc std::random_device
với std::mt19937
và trả về một giá trị uint32 ngẫu nhiên, lấy cảm hứng từ emscripten-core/emscripten#12240.
Có một vấn đề quan trọng ở đây, dẫn đến lỗ hổng nghiêm trọng đối với lõi ví của Wasm và bất kỳ sản phẩm nào dựa vào nó: PRNG được sử dụng là Mersenne Twister và không nên sử dụng nó cho mục đích mã hóa. Ngoài ra, phiên bản chuyên biệt mt19937 lấy một giá trị 32 bit duy nhất làm hạt giống đầu vào.
Hậu quả ở đây là gì? Mô-đun Ngẫu nhiên tùy chỉnh cho Wasm thực hiện hai chức năng: random32
xuất ra giá trị ngẫu nhiên 32 bit và random_buffer
làm đầy bộ đệm có kích thước tùy ý với dữ liệu ngẫu nhiên. Trong dự án Wallet Core, các chức năng này được sử dụng độc quyền bởi trezor-crypto, thư viện mật mã do Trezor phát triển để đảm bảo mật mã an toàn trên ví phần cứng của họ.
Bây giờ, hãy xem ví HD được tạo như thế nào:
- Điểm vào là HDWallet. Nó cần một sức mạnh và một cụm mật khẩu để bảo vệ nó sau này:
https://github.com/trustwallet/wallet-core/blob/3.1.0/src/HDWallet.cpp#L45
Chức năng này sau đó gọi mnemonic_generate
để tạo bản ghi nhớ BIP-39:
https://github.com/trustwallet/wallet-core/blob/3.1.0/trezor-crypto/crypto/bip39.c#L55
mnemonic_generate
cuộc gọi random_buffer
, xuất ra một bộ đệm ngẫu nhiên được lấp đầy bằng cách sử dụng Mersenne twister PRNG, phiên bản của nó vừa được khởi tạo:
https://github.com/trustwallet/wallet-core/blob/3.1.0/wasm/src/Random.cpp#L19
Vì hạt giống chỉ có 32 bit, phiên bản Wasm của lõi ví chỉ cho phép tạo 2^32 (~4 tỷ) ký hiệu có thể. Tất cả những cách ghi nhớ này có thể được tạo ra trong vài giờ trên một máy tính.
Từ đó, kẻ tấn công có thể:
- Tính toán tất cả các hạt giống, khóa riêng tư, sau đó là địa chỉ của mọi loại tiền điện tử được Trust Wallet xử lý.
- Quét các chuỗi khối liên quan để trích xuất tất cả các địa chỉ được sử dụng.
- Tính toán giao lộ để lấy tất cả địa chỉ ví do Trust Wallet cho Wasm tạo và đánh cắp tiền của họ.
Chạy cuộc tấn công như vậy mất hơn vài giờ, nhưng có thể thực hiện được với một vài GPU trong vòng chưa đầy một ngày (xem Medium.com/@johncantrell97/how-i-checked-over-1-trillion-mnemonics-in-30-hours-to-win-a-bitcoin để ước tính chi phí. Tấn công ở đây dễ hơn 256 lần).
Tiện ích mở rộng trình duyệt Application to Trust Wallet
Sản phẩm Tiện ích mở rộng trình duyệt Trust Wallet là một tiện ích mở rộng cho các trình duyệt dựa trên Chromium. Nó rõ ràng là một đối thủ cạnh tranh của MetaMask và được coi là “ví tiền điện tử đa chuỗi an toàn và là cổng vào hàng nghìn ứng dụng phi tập trung Web3 (dApps)”.
Tiện ích mở rộng là nguồn đóng, nhưng mã của nó có thể dễ dàng phân tích. Nó dựa trên việc triển khai Wasm dễ bị tấn công của Trust Wallet Core.
Khi một ví được tạo, tiện ích mở rộng sẽ tạo một bản ghi nhớ 12 từ từ một hạt giống 128 bit ngẫu nhiên. Mnemonic được tạo ra theo cách này:
HDWallet.create
là trình bao bọc Wasm được tạo tự động cho hàm tạo HDWallet được mô tả ở trên. Điều đó có nghĩa là những người dễ bị tổn thương random_buffer
chức năng được sử dụng, vì vậy có thể truy xuất các thuật nhớ từ địa chỉ người dùng bằng một cuộc tấn công vũ phu.
Tiện ích mở rộng này xử lý các nội dung sau: AVAX, BNB, ETH, MATIC, SOL và TWT.
- Địa chỉ giống hệt nhau cho ETH, BNB, MATIC, AVAX và TWT. Đây là các địa chỉ Ethereum tiêu chuẩn, chia sẻ cùng một đường dẫn xuất (m/44'/60'/0'/0/0).
- Solana sử dụng một đường dẫn xuất khác: m/44'/501'/0'/0'.
Để rút tiền của tất cả người dùng tiện ích mở rộng Trust Wallet, kẻ tấn công có thể:
- Tính toán và lưu trữ mọi khả năng ghi nhớ có thể, sau đó là khóa riêng Ethereum và địa chỉ Ethereum, có thể được tạo bởi tiện ích mở rộng này.
- Thu thập tất cả các địa chỉ Ethereum đã sử dụng được tạo kể từ lần phát hành đầu tiên của tiện ích mở rộng trình duyệt Trust Wallet và lưu trữ chúng cục bộ.
- Thực hiện tra cứu trong cơ sở dữ liệu địa chỉ.
- Làm trống ví bằng khóa riêng, nếu địa chỉ đã được sử dụng.
Các bước này có thể được sao chép cho mọi chuỗi. Bây giờ chúng tôi trình bày chi tiết cách Ledger Donjon thực hiện cuộc tấn công này vào Ethereum và Binance Smart Chain, tất nhiên, mà không làm cạn kiệt ví.
Tấn công Trust Wallet
Lỗ hổng cho phép kẻ tấn công tính toán khả năng ghi nhớ từ bất kỳ địa chỉ nào của ví được tạo bởi tiện ích mở rộng trình duyệt. Để làm được điều đó, người ta cần tính toán ánh xạ giữa các thuật nhớ có thể có và địa chỉ kết quả.
Tạo tất cả các địa chỉ mà tiện ích mở rộng Trust Wallet có thể tạo
Dựa trên lỗ hổng trong PRNG đã được giải thích trước đây, có thể liệt kê tất cả các địa chỉ (và các khóa riêng tư liên quan) mà tiện ích mở rộng Trust Wallet có thể tạo ra. Ý tưởng của tôi là lưu trữ mọi địa chỉ có thể có trong một bảng lớn. Sau đó, từ danh sách các địa chỉ được trích xuất từ chuỗi khối Ethereum, người ta có thể kiểm tra xem một số địa chỉ có trong bảng này hay không. Nếu vậy, khóa riêng của nó có thể được tính toán.
Dẫn xuất từ entropy đến mnemonic sau đó đến địa chỉ Ethereum sử dụng cơ chế dẫn xuất tiêu chuẩn BIP-32, BIP-39, và BIP-44 phân cấp tài khoản.
Khó khăn đầu tiên là liệt kê tất cả các địa chỉ này. Việc chuyển đổi từ hạt giống PRNG sang địa chỉ yêu cầu các bước sau:
- tạo entropy: khởi tạo Mersenne Twister với hạt giống và gọi nó 16 lần để thu thập entropy ban đầu.
- Entropy để ghi nhớ: một SHA-256 để tính tổng kiểm tra cuối cùng được nhúng trong từ cuối cùng.
- Ghi nhớ hạt giống: ghi nhớ được chuyển đổi thành hạt giống 512 bit bằng cách sử dụng PKBDF2-HMAC-SHA512 với 2048 lần lặp. Có 2 lần tính toán SHA-512 trên mỗi lần lặp, vì vậy tổng chi phí là 4096 lần tính toán SHA-512.
- Chuyển đến khóa chính BIP-32: 1 HMAC SHA-512 tốn 2 lần tính toán SHA-512.
- Khóa chính thành khóa riêng Ethereum: khóa chính được lấy từ m/44'/60'/0'/0/0. Điều này yêu cầu 3 dẫn xuất khóa riêng con cứng và 2 dẫn xuất khóa con bình thường.
- Mỗi dẫn xuất khóa riêng của con cứng yêu cầu một phép tính HMAC SHA-512 (2 SHA-512) và một phép bổ sung trên secp256k1.
- Mỗi dẫn xuất khóa riêng con bình thường yêu cầu một dẫn xuất khóa riêng con và phép nhân vô hướng trên secp256k1 để chuyển đổi khóa riêng được cung cấp trong đầu vào thành khóa chung.
- Khóa riêng Ethereum để giải quyết: bước cuối cùng này yêu cầu chuyển đổi khóa riêng thành khóa chung, do đó, một phép nhân vô hướng khác và một hàm băm Keccak-256.
Khi đó tổng chi phí cho tất cả các bước này là:
- Khởi tạo và 16 lệnh gọi Mersenne Twister
- 1 SHA-256
- 4108 SHA-512
- cộng 5 điểm
- 2 phép nhân vô hướng trên secp256k1
Các bước tốn kém nhất là tính toán SHA-512 và phép nhân vô hướng. Nói ngắn gọn, toàn bộ quá trình chuyển đổi PRNG seed thành địa chỉ Ethereum diễn ra chậm. Việc chạy tính toán như vậy trên một CPU sẽ mất hàng tháng và có thể là vài tuần trên các CPU có sẵn trong Donjon. Vì vậy, chúng tôi đã triển khai nó bằng OpenCL (dựa trên GPU bộ giải BIP39) và chạy nó trên 2 GPU NVIDIA GeForce GTX 1080 Ti.
Đầu ra của công cụ này là một tệp lớn chứa tất cả các địa chỉ Ethereum mà tiện ích mở rộng có thể tạo. Vì có thể có 2^32 hạt giống và mỗi địa chỉ dài 20 byte nên bảng này chiếm 80 Gb.
Từ đó, việc tra cứu bảng bị chậm: để khớp với một địa chỉ, nó sẽ yêu cầu lặp qua tất cả bảng lớn này.
Để tăng tốc độ tra cứu này, chúng tôi chia bảng thành 256 bảng nhỏ hơn, theo byte đầu tiên của địa chỉ Ethereum. Mỗi bảng chứa các cặp hạt giống PRNG và địa chỉ Ethereum kết quả của chúng.
Cuối cùng, để có thể thực hiện tra cứu nhanh trong mỗi bảng, chúng tôi đã sắp xếp chúng theo địa chỉ Ethereum. Bây giờ có thể thực hiện tìm kiếm nhị phân trên các bảng này: tra cứu trên các bảng được sắp xếp này rất rẻ.
Để tiết kiệm dung lượng ổ đĩa, chúng tôi đã lưu trữ PRNG seed và chỉ 8 byte đầu tiên của mỗi địa chỉ Ethereum. 12 byte cuối cùng là không cần thiết vì xung đột không đáng kể trong trường hợp sử dụng của tôi. Mỗi mục sau đó mất 12 byte. Toàn bộ bảng sau đó mất 48 Gb.
Dưới đây là thời gian cho từng bước:
Sử dụng các bảng này, có thể truy xuất ngay các thuật nhớ được sử dụng để tạo địa chỉ. Để đánh giá tác động của lỗ hổng, Binance đã hỏi tôi bản ghi nhớ của 3 địa chỉ thử nghiệm mà họ cung cấp. Đây là kết quả:
Việc truy xuất 3 thuật nhớ và khóa riêng mất vài trăm mili giây. Theo thử nghiệm của chúng tôi, quá trình này thực sự đủ nhanh để xử lý trong thời gian thực tất cả các giao dịch trên chuỗi khối Ethereum và phá vỡ tất cả các địa chỉ dễ bị tấn công ngay khi chúng được sử dụng. Bằng cách lưu trữ các địa chỉ đã được thử nghiệm, điều tương tự cũng áp dụng cho các chuỗi khối khác như BSC. Trong kịch bản tấn công này, người ta có thể theo dõi các giao dịch khi chúng đến mempool và tính toán khóa riêng của người gửi hoặc người nhận trong thời gian thực.
Liệt kê tất cả các địa chỉ Ethereum đã sử dụng
Những gì chúng tôi muốn là ước tính số lượng ví dễ bị tấn công thực sự và số dư của chúng. Điều này nghe có vẻ dễ dàng, vì tất cả các giao dịch đều được công khai, do đó tất cả các địa chỉ đều có sẵn trên chuỗi khối. Tuy nhiên, không có cách nào để truy xuất trực tiếp danh sách các địa chỉ đã sử dụng.
Chúng tôi đã triển khai một phương pháp lặp qua mọi khối của chuỗi khối Ethereum. Chúng tôi đã trích xuất địa chỉ người gửi và người nhận của tất cả các giao dịch và tham số địa chỉ của mọi lệnh gọi tới hợp đồng ERC-20.
Lưu ý rằng với phương pháp này, chỉ những ví đã sử dụng mới có thể được phát hiện: một số ví dễ bị tổn thương không nhận được tài sản chưa bao giờ tương tác với chuỗi khối.
Chúng tôi đã quét chuỗi khối Ethereum giữa các khối 14820000 và 16096000. Khối 14820000 được tạo vào ngày 21 tháng 2022 năm 16096000, do đó ngay trước yêu cầu kéo đã thêm mã dễ bị tổn thương trong Trust Wallet Core. XNUMX là khối mới nhất khi tôi viết bài đăng này.
Các nút công cộng dường như có giới hạn tốc độ, vì vậy tôi đã truy vấn song song một số nút công khai để thu thập tổng cộng 147,910,120 địa chỉ trong vài chục giờ. Sau khi loại bỏ trùng lặp, chúng tôi thu được danh sách 32,613,317 địa chỉ duy nhất.
Phương pháp tương tự đã được sử dụng cho Chuỗi thông minh Binance. Các nút BSC công cộng đã được quét.
Ước tính số lượng tài khoản dễ bị tấn công
Cuối cùng, một công cụ để kiểm tra xem một địa chỉ đã được tạo bởi tiện ích mở rộng Trust Wallet đã được viết hay chưa. Nó thực hiện tra cứu trong các bảng được tạo, lấy hạt giống PRNG và từ đó tính toán khả năng ghi nhớ, khóa riêng Ethereum và địa chỉ được liên kết.
Tính toán rất nhanh. Các địa chỉ ứng viên đã được sắp xếp trước để giảm thiểu I/O và để thực hiện tìm kiếm nhị phân lồng nhau. Tra cứu trên 32 triệu địa chỉ mất vài phút bằng tập lệnh Python đơn giản.
Đây là một ví dụ với một địa chỉ được lấy từ một tweet công khai trả lời thông báo về tiện ích mở rộng Trust Wallet. Tôi lấy cái này làm ví dụ vì địa chỉ này có chưa bao giờ được sử dụng, vì vậy tiền của người dùng không gặp rủi ro.
Công cụ đã được chạy trên bộ dữ liệu 1,873,720 chi tiết ở trên. Việc kiểm tra tất cả các địa chỉ và tính toán các khóa riêng tư của các tài khoản dễ bị tấn công mất 4 phút 22 giây, vì vậy nó rất rẻ.
Với danh sách các khóa cá nhân dễ bị tấn công này, có thể liệt kê tất cả các địa chỉ tương ứng, số dư của chúng và rõ ràng là rút chúng ra… Trong quá trình điều tra của chúng tôi, khoảng 30 triệu đô la đã gặp rủi ro tại một số thời điểm, nhưng chúng tôi đã không giám sát tất cả các chuỗi và mã thông báo ngoài giờ .
Khắc phục
2022, ngày 17 tháng XNUMX
Lỗ hổng đã được báo cáo cho Binance bằng cách sử dụng chương trình tiền thưởng lỗi vào năm 2022, ngày 17 tháng XNUMX.
Để xác nhận lỗ hổng, Binance đã gửi cho chúng tôi 3 địa chỉ và yêu cầu họ cung cấp thông tin ghi nhớ:
Bạn có thể thử chạy công cụ của mình và cung cấp thông tin ghi nhớ cho 3 địa chỉ này không?
Wallet 1 – 0xdf6D9547e163D5E7eafBe2FeB24Bfa12A4C913C0
Wallet 2 – 0xE1E0580cb5eA0c0FD034FF2cdfc872ce4493676C
Wallet 3 – 0x02b2Ae981b138F066344774A2AD75225A046c377
Cảm ơn!
Trân trọng.
Khi tất cả các địa chỉ có thể đã được tính toán trước, việc truy xuất bản ghi nhớ từ một địa chỉ cũng đơn giản như tra cứu trong bảng 4 tỷ mục nhập. Ba thuật nhớ đã được truy xuất trong 0.2 giây:
2022, ngày 21 tháng XNUMX
Vài ngày sau, vào ngày 21 tháng XNUMX, nhóm Trustwallet cam kết công khai trên Github, bản sửa lỗi tránh tạo ra các hạt giống có lỗi mới. Chúng tôi khá lo lắng ai đó sẽ chú ý và khai thác lỗ hổng.
2022, tháng XNUMX
Nhóm Trustwallet đã cập nhật ứng dụng để cảnh báo người dùng của họ, ngăn họ tạo ra các hạt giống sai sót mới và loại bỏ các luồng nhận.
Từ đó, chúng tôi theo dõi tình hình và các khoản tiền có nguy cơ. Chỉ vài ngày sau khi phát hành ví dễ bị tổn thương này, khoảng 30 triệu đô la đã gặp rủi ro.
2023, tháng XNUMX
Đội ngũ Trustwallet đã cấp cho chúng tôi mức tiền thưởng cao nhất mà họ đưa ra: $100k
2023, ngày 22 tháng XNUMX
Sau nhiều tháng chờ đợi người dùng di chuyển tiền của họ, nhóm Trustwallet đã tiết lộ lỗ hổng và viết một hậu hiện đại. Tính đến thời điểm hiện tại, vẫn có những chiếc ví có số tiền còn lại có thể bị đánh cắp (~$100k). Trust Wallet hứa sẽ hoàn trả số tiền bị đánh cắp.
Kết luận
Lỗ hổng này minh họa trường hợp xấu nhất của lỗi tiền điện tử – tài khoản bị xâm phạm mãi mãi.
Tạo ra tính ngẫu nhiên tốt là một nhiệm vụ khó khăn – Các thiết bị Ledger dựa trên logic silicon chuyên dụng trong chip thẻ thông minh được chứng nhận của chúng tôi, vốn là tiêu chuẩn vàng của các ngành bảo mật trong 40 năm qua để đảm bảo tính ngẫu nhiên chất lượng cao và khả năng chống giả mạo.
Do sự phức tạp của việc liên hệ với chủ sở hữu của các tài khoản đó và khả năng sử dụng các tài khoản bị xâm phạm đó trên tất cả các loại ví phần cứng và phần mềm khác nhau, TrustWallet đã thực hiện khá tốt việc giảm thiểu rủi ro cho người dùng của họ.
Trong tương lai (rất) (gần) có khả năng các bot sẽ chiến đấu để trở thành người đầu tiên đánh cắp tiền gửi vào các địa chỉ đó, tương tự như điều gì đã xảy ra với ví não trong quá khứ.
Đặc biệt cảm ơn Jean-Baptiste Bédrune vì đã cứu thế giới. Chỉ vài ngày sau khi phát hành tiện ích mở rộng Trust Wallet, gần 30 triệu đô la đã gặp rủi ro. Một kịch bản ác mộng có thể xảy ra nếu kẻ tấn công tìm thấy lỗ hổng sau vài tháng.
Trong quá trình điều tra của mình, chúng tôi cũng nhận thấy rằng một số địa chỉ dễ bị tấn công trong khi chúng đã được tạo một thời gian dài trước khi phát hành Trust Wallet. Điều đó có thể có nghĩa là lỗ hổng này tồn tại trong một số triển khai ví khác có liên quan…
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://www.ledger.com/blog/funds-of-every-wallet-created-with-the-trust-wallet-browser-extension-could-have-been-stolen
- : có
- :là
- :không phải
- $ LÊN
- 1
- 12
- 13
- 14
- 15%
- 2022
- 23
- 24
- 30
- 39
- 40
- 49
- 8
- a
- Có khả năng
- ở trên
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- Đạt được
- thực sự
- thêm
- Ngoài ra
- địa chỉ
- địa chỉ
- Sau
- một lần nữa
- Tất cả
- cho phép
- Cho phép
- cho phép
- Đã
- Ngoài ra
- an
- và
- Android
- công bố
- Thông báo
- Một
- bất kì
- ứng dụng
- các ứng dụng
- Ứng dụng (DApps)
- ứng dụng
- Tháng Tư
- LÀ
- xung quanh
- bài viết
- AS
- Tài sản
- liên kết
- At
- tấn công
- tác giả
- có sẵn
- AVAX
- tránh
- tránh
- tránh
- sao lưu
- Bad
- Cân đối
- số dư
- dựa
- Khái niệm cơ bản
- BE
- được
- trước
- được
- phía dưới
- Hơn
- giữa
- lớn
- lớn nhất
- Tỷ
- nhị phân
- Chuỗi thông minh Binance
- Beep
- Chặn
- blockchain
- blockchains
- Khối
- bnb
- chương trình
- bounty
- Brain
- thương hiệu
- Nghỉ giải lao
- trình duyệt
- trình duyệt
- bạo lực
- BSC
- đệm
- Bug
- nhưng
- by
- cuộc gọi
- Cuộc gọi
- CAN
- ứng cử viên
- không thể
- trường hợp
- CHỨNG NHẬN
- chuỗi
- chuỗi
- giá rẻ
- kiểm tra
- trẻ em
- Snacks
- cơ rôm
- Rõ ràng
- mã
- Chung
- đối thủ
- phức tạp
- Thỏa hiệp
- tính toán
- tính toán
- Tính
- máy tính
- máy tính
- Xác nhận
- Hậu quả
- xem xét
- chứa
- hợp đồng
- Chuyển đổi
- chuyển đổi
- chuyển đổi
- Trung tâm
- sửa chữa
- Tương ứng
- Phí Tổn
- có thể
- Couple
- khóa học mơ ước
- CPU
- tạo
- tạo ra
- tạo ra
- quan trọng
- nền tảng
- Crypto
- Hệ sinh thái tiền điện tử
- Ví tiền điện tử
- cryptocurrency
- mật mã
- mật mã
- khách hàng
- DApps
- dữ liệu
- Cơ sở dữ liệu
- ngày
- Ngày
- Phân quyền
- Ứng dụng phi tập trung
- dành riêng
- xác định
- chứng minh
- ký gửi
- Nguồn gốc
- mô tả
- Mặc dù
- chi tiết
- chi tiết
- chi tiết
- phát hiện
- phát triển
- thiết bị
- Thiết bị (Devices)
- ĐÃ LÀM
- sự khác biệt
- khác nhau
- khó khăn
- Khó khăn
- kỹ thuật số
- Tài sản kỹ thuật số
- trực tiếp
- nản
- phát hiện
- phân phối
- do
- thời gian chết
- hàng chục
- mương
- bản sao
- suốt trong
- mỗi
- dễ dàng hơn
- dễ dàng
- dễ dàng
- hệ sinh thái
- nhúng
- Tiếng Anh
- đủ
- đảm bảo
- nhập
- môi trường
- ERC-20
- ước tính
- ETH
- ethereum
- Chuỗi khối Ethereum
- Ngay cả
- Mỗi
- ví dụ
- độc quyền
- hiện tại
- tồn tại
- đắt tiền
- Giải thích
- Giải thích
- Khai thác
- mở rộng
- trích xuất
- không
- quen
- NHANH
- Yêu thích
- Đặc tính
- vài
- chiến đấu
- Tập tin
- đầy
- cuối cùng
- tài chính
- tự do tài chính
- cuối
- Tên
- Sửa chữa
- thiếu sót
- Chảy
- tiếp theo
- Trong
- Buộc
- mãi mãi
- May mắn thay
- tìm thấy
- Freedom
- từ
- chức năng
- chức năng
- chức năng
- quỹ
- tương lai
- cửa ngõ
- thu thập
- nói chung
- tạo ra
- tạo ra
- tạo ra
- thế hệ
- máy phát điện
- được
- GitHub
- Gói Vàng
- Tiêu chuẩn vàng
- tốt
- GPU
- cấp
- Bảo hành
- tấn
- có
- Xử lý
- đã xảy ra
- Cứng
- phần cứng
- Ví phần cứng
- băm
- Có
- vì thế
- tại đây
- hệ thống cấp bậc
- Cao
- cao nhất
- GIỜ LÀM VIỆC
- Độ đáng tin của
- Tuy nhiên
- HTTPS
- một trăm
- i
- ý tưởng
- giống hệt nhau
- if
- minh họa
- ngay
- Va chạm
- thực hiện
- thực hiện
- thực hiện
- quan trọng
- không thể
- in
- vô cùng
- các ngành công nghiệp
- Vô cực
- thông tin
- ban đầu
- đầu vào
- lấy cảm hứng từ
- ví dụ
- tương tác
- giao diện
- ngã tư
- trong
- Điều tra
- iOS
- IT
- sự lặp lại
- sự lặp lại
- ITS
- Việc làm
- chỉ
- Giữ
- Key
- phím
- Biết
- Biết
- Họ
- một lát sau
- mới nhất
- Dẫn
- Ledger
- trái
- ít
- đòn bẩy
- Thư viện
- Lượt thích
- Có khả năng
- LIMIT
- linux
- Danh sách
- tại địa phương
- logic
- dài
- thời gian dài
- chờ đợi từ lâu
- tra cứu
- thực hiện
- làm cho
- LÀM CHO
- nhiều
- lập bản đồ
- chủ
- Trận đấu
- vật liệu
- matic
- max-width
- Có thể..
- có nghĩa
- Hồi ức
- MetaMask
- phương pháp
- di chuyển
- triệu
- hàng triệu
- phút
- phút
- thuật nhớ
- mô-đun
- Modules
- Màn Hình
- theo dõi
- tháng
- chi tiết
- Hơn thế nữa
- hầu hết
- nhiều
- nhiều chuỗi
- phải
- my
- Gần
- cần thiết
- Cần
- nhu cầu
- không bao giờ
- Mới
- tiếp theo
- Không
- nút
- Node.js
- các nút
- bình thường
- đáng chú ý
- Để ý..
- Tháng mười một
- tại
- con số
- số
- Nvidia
- được
- xảy ra
- of
- cung cấp
- cung cấp
- on
- ONE
- có thể
- hoạt động
- hệ điều hành
- or
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- đầu ra
- kết thúc
- tổng thể
- chủ sở hữu
- cặp
- Song song
- thông số
- một phần
- qua
- con đường
- thực hiện
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- Điểm
- khả năng
- có thể
- Bài đăng
- mạnh mẽ
- pr
- thực hành
- Chính xác
- trình bày
- khá
- ngăn chặn
- trước đây
- nguyên tắc
- riêng
- Key Private
- Khóa riêng
- có lẽ
- Vấn đề
- quá trình
- Sản phẩm
- dự án
- hứa
- tài sản
- bảo vệ
- cho
- cung cấp
- công khai
- chính công
- mục đích
- Python
- chất lượng
- Mau
- ngẫu nhiên
- ngẫu nhiên
- Tỷ lệ
- đạt
- thực
- thời gian thực
- nhận
- nhận
- gần đây
- giảm
- liên quan
- liên quan
- phát hành
- dựa
- còn lại
- Đã loại bỏ
- Báo cáo
- yêu cầu
- yêu cầu
- đòi hỏi
- Sức đề kháng
- kết quả
- kết quả
- trở lại
- Nguy cơ
- chạy
- chạy
- an toàn
- tương tự
- Lưu
- tiết kiệm
- kịch bản
- Đề án
- các nhà khoa học
- Tìm kiếm
- an toàn
- an ninh
- xem
- hạt giống
- hạt giống
- hình như
- người gửi
- gởi
- Trình tự
- một số
- chia sẻ
- ngắn
- nên
- Silicon
- tương tự
- Đơn giản
- kể từ khi
- duy nhất
- tình hình
- Kích thước máy
- chậm
- nhỏ hơn
- thông minh
- Chuỗi thông minh
- So
- Phần mềm
- SOL
- một số
- Một người nào đó
- Chẳng bao lâu
- nguồn
- Không gian
- nói
- chuyên nghành
- riêng
- tốc độ
- chia
- Traineeship
- Tiêu chuẩn
- tiêu chuẩn
- Bắt đầu
- Bước
- Các bước
- Vẫn còn
- ăn cắp
- tiền bị đánh cắp
- hàng
- lưu trữ
- sức mạnh
- mạnh mẽ
- như vậy
- Hỗ trợ
- phải
- Công tắc điện
- hệ thống
- bàn
- giải quyết
- Hãy
- mất
- Mục tiêu
- mục tiêu
- Nhiệm vụ
- nhóm
- thử nghiệm
- Kiểm tra
- kiểm tra
- hơn
- cảm ơn
- việc này
- Sản phẩm
- Khái niệm cơ bản
- thế giới
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều này
- những
- hàng ngàn
- số ba
- Thông qua
- thời gian
- thời gian
- đến
- bây giờ
- Tokens
- mất
- công cụ
- chủ đề
- Tổng số:
- Giao dịch
- Chuyển đổi
- Chuyển đổi
- Trezor
- NIỀM TIN
- Ví ủy thác
- thử
- hai
- TWT
- phổ cập
- độc đáo
- địa chỉ duy nhất
- cập nhật
- us
- sử dụng
- đã sử dụng
- người sử dang
- tiền của người dùng
- Người sử dụng
- sử dụng
- thường
- giá trị
- phiên bản
- rất
- dễ bị tổn thương
- Dễ bị tổn thương
- Đợi
- ví
- Ví
- là
- Đường..
- we
- Web3
- tuần
- là
- khi nào
- cái nào
- trong khi
- toàn bộ
- có
- rộng rãi
- sẽ
- với
- không có
- Từ
- từ
- thế giới
- lo lắng
- tệ nhất
- sẽ
- viết
- năm
- bạn
- trên màn hình
- zephyrnet