承諾賠償！Trust Wallet驚爆漏洞，做過「這件事」錢包恐被盜

Trust Wallet 驚爆漏洞

知名加密貨幣錢包 Trust Wallet，上週六（22 日）發佈一則名為《WASM 漏洞、事件更新和建議措施》的官方公告，披露在去年 11 月，一名安全研究人員通過漏洞賞金計劃，報告 Trust Wallet 開源庫 Wallet Core 中，存在潛在的 WebAssembly（WASM）漏洞：「Trust 錢包建立在安全和信任的基礎上。因此，我們分享了一個漏洞，該漏洞會影響去年 11 月 14 日至 23 日期間，使用瀏覽器擴充功能創建的新地址。」

根據調查，該漏洞起因於 Trust Wallet 在網頁擴充功能中，用於生成錢包的 Wallet Core 部分，使用了名為「MT19937」的亂數生成器，而「MT19937」本身卻未能正確提供足夠的隨機性，這導致在該時間段生成的私鑰，相比平常更容易被破解。

公告指出，儘管 Trust Wallet 團隊在接收到漏洞報警後就迅速修正，但在 2022 年 12 月下旬和 2023 年 3 月下旬，依然出現用戶的異常資金流動，初步估計有近 17 萬美元遭到駭客竊取，截至目前仍有 8.8 萬美元的資產仍在曝險中。

做過「這件事」，錢包就在曝險名單內

那麼該怎麼知道自己的錢包資產，有沒有在曝險的 8.8 萬美元裡面呢？ 

官方表示，目前僅限在去年（2022 年）11 月 14 日至 11 月 23 日期間，使用「網頁擴充功能」創建的新錢包地址，才存在 WASM 漏洞，只要在不是在這段時間創建的錢包地址，或是在該時間段，但使用手機 APP 創建的錢包地址，都不在曝險範圍內，要用戶無需過度驚慌。 

此外，Trust Wallet 團隊也針對曝險用戶，在網頁擴充功能中發布警告通知，一旦收到來自官方的警告，就代表自己的錢包存在風險。官方呼籲，受影響的錢包地址應該盡快轉移資產，防止再次出現鉅額損失。 

而面對已經被盜的 17 萬美元鉅款，Trust Wallet 團隊也負起責任，保證會全額賠償：「為了做正確的事，我們為受影響的用戶創建了一個補償流程。」 

最後，Trust Wallet 團隊在推文中道歉，並稱最新版本的 Trust Wallet APP 和瀏覽器擴充功能都安全可靠，希望用戶能夠持續信任團隊和 Trust Wallet 錢包：「對於給您帶來的任何不便，我們深表歉意，並且正在努力為受影響的用戶解決此問題。真誠感謝白帽社群通過漏洞賞金做出的寶貴貢獻，我們歡迎更多的問題回報，感謝您對維護我們生態系統安全的支持！」