在Trust Wallet iOS应用中，一个古老的漏洞可能仍影响那些用它创建账户的用户——哪怕他们早已不再使用Trust Wallet。SECBIT实验室的网络安全研究员最近的一份报告指出这一点。据悉，该漏洞仅存在于2018年2月5日至8月21日期间，因此之后创建的账户不受影响。然而，一些用户可能还不知道该漏洞的存在，并计划继续使用这些暴露的钱包。

该漏洞是由Trust钱包在Trezor库中调用的两个函数引起的，这些函数本应仅用于测试。尽管开发者笔记提醒开发者不要使用这些函数，但Trust Wallet不小心将其包含在iPhone钱包应用中，SECBIT指出。据称，这个错误允许攻击者猜测一些用户的私钥并窃取他们的资金。SECBIT声称，即使现在，这些账户仍然容易受到攻击。

这个新发现的漏洞据说与Trust Wallet的浏览器扩展漏洞是分开的，后者Trezor团队在2023年4月已经承认。

在2023年2月15日的博客文章中，Trust Wallet对SECBIT的指控进行了回应。公司表示，该漏洞仅影响了数千名用户，他们都被通知并转移到了新钱包中。Trust Wallet声称它在2018年7月修补了这个漏洞，目前其应用可以安全使用。

SECBIT在Trust Wallet iOS应用中发现漏洞

研究团队表示，在调查2023年7月12日发生的一起针对加密钱包的大规模攻击时，他们偶然发现这个漏洞。该攻击影响了超过200个加密货币账户。许多受攻击的账户几个月来都没有被使用，或存储在无法访问互联网的设备上，这应该使得它们极其难以被黑客入侵。此外，受害者使用了众多不同的钱包应用，其中Trust Wallet和Klever Wallet被使用得最为广泛。这使得黑客攻击的原因难以确定，这引起了研究者的好奇心。

经过进一步调查，研究人员发现，大多数受害者的地址最早是在2018年7月至8月之间收到资金的。然而，在发现这一点后不久，他们的调查陷入了僵局，转而 进行了其他研究。

然后，在2023年8月7日，Distrust网络安全团队宣布，他们已经据说发现了一个名为Libbitcoin Explorer的Bitcoin (BTC)应用的漏洞。该漏洞被称为“Milk Sad”，它允许攻击者猜测用户的私钥。在阅读了关于这个所谓漏洞的报道后，SECBIT团队开始怀疑，类似的漏洞可能导致了7月12日的攻击。

研究人员重新开启了调查，并开始查看从2018年7月到8月发布的Trust Wallet代码。他们发现，这一时期的应用的iOS版本使用了Trezor的加密iOS库中的函数“random32()”和“random_buffer()”来生成助记词。

这些函数中包含开发者笔记，警告不要在生产应用中使用。例如，random32()的笔记中写道：“以下代码不应该在生产环境中使用。[...] 这只是为了使库可测试。[...] 上面的信息试图阻止在测试环境之外的任何意外使用。”

在调查代码后，据说研究人员发现，它生成的种子词不够随机，无法阻止攻击者猜测。这意味着，在此期间在iOS设备上创建的任何Trust Wallet账户都可能面临资金被清零的风险，SECBIT声称。

相关： 美国调查Trust Wallet iOS应用漏洞

在其报告中，SECBIT声称创建了一个受损地址数据库，并将其转发给了Trust Wallet团队。它还声称，与7月12日黑客攻击的受害者进行了比较，发现83%的受害者使用随机32()和random_buffer()函数生成了钱包。

在Trust Wallet面对这些信息时，据说它告诉SECBIT，它在2018年已经私下通知了用户。它还强调了这些地址的余额为零，因此无法警告他们资金损失。SECBIT据说敦促Trust Wallet公开宣布漏洞，但Trust Wallet没有遵守。该公司表示，只有在该公司未能进行公开披露之后，它才发布了其研究结果。

尽管报告批评连连，SECBIT指出，Trust Wallet是开源的，因此其他钱包开发者可能已经分叉了代码，导致其用户生成了有漏洞的地址，或者另一个钱包开发者可能独立犯了与Trust Wallet相同的错误，即在此期间使用Trezor的加密iOS库生成地址。研究人员评论道：

据SECBIT称，Trezor在2018年7月16日更新了其库，增加了两个函数的生产版。即便如此，漏洞可能仍然影响一些在2018年初创建账户但从未向其发送资金的用户，研究人员声称。

Trust Wallet的回应

Cointelegraph联系了Trust Wallet寻求评论。作为回应，一位代表指向了团队关于该问题的2月15日的公开声明。在这份声明中，开发团队强调，Trust Wallet当前版本不包含该漏洞。

“我们想确保Trust Wallet用户的安全，钱包可以安全使用，”发言人表示。“尽管我们早期开源代码中确实存在一个影响仅数千用户的漏洞，”他们继续说，“但这个漏洞得到了安全社区的支持，并迅速得到修补——受影响的用户都被通知并迁移到了安全的钱包。”

Trust Wallet还反驳了它未能充分通知用户的说法。“Trust Wallet创始人采取了迅速而积极的步骤来通知所有受影响用户，并为它们提供了安全的迁移途径，”发言人表示，“确保没有用户处于危险之中。”

Trust Wallet还否认说，大多数黑客攻击都是针对其应用生成的账户。他们在其用户数据库中只发现了“2,000多个被攻破的地址中的600个”是Trust Wallet用户。他们声称，其中一些用户可能从其他应用程序中导入地址。

与SECBIT声明称83%的受害者地址由存在缺陷的代码生成相比，Trust Wallet表示，“仅有三分之一的它们有2018年Trust Wallet历史漏洞。”在报告中，团队鼓励安全研究人员利用其赏金计划，并声称其致力于保持钱包的安全。

相关： 信任是加密熊市中最佳的策略——Trust Wallet CEO

在2023年7月12日的报告中，Klever钱包也证实，一些攻击的受害者使用了其应用程序。然而，它声称所有地址都已导入，并非由Klever创建。

Cointelegraph联系了Trezor，寻求评论。作为回应，该公司的首席技术官Tomáš Sušánka强调，争议的核心函数仅用于测试，而不是用于官方项目开发使用：

在SECBIT的报告中，研究人员警告说，在此期间拥有Trust Wallet账户的iOS用户应迁移到新的钱包并停止使用旧的 wallets。“令人担忧的是，用户可能仍在使用在容易受到攻击的时期创建的钱包，”他们表示。“如果没有对问题的认识，他们可能会面临进一步的资金损失。”