慢雾创始人:2022年11月14日-23日期间使用Trust Wallet浏览器扩展创建的钱包存在风险

2023-04-22 17:48:40

4月22日消息,慢雾创始人余弦在社交媒体引用Trust Wallet公告表示,若用户使用TrustWallet浏览器扩展且在2022年11月14日-23日期间创建了钱包,则该钱包将存在风险。本质原因是当时TrustWallet浏览器扩展使用的MT19937伪随机数生成器没有提供足够的随机性,导致私钥可以被破解。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
22:56
Trust Wallet发布全新网页浏览器扩展钱包
11月14日消息,自主托管多链加密资产移动钱包Trust Wallet宣布推出全新网页浏览器扩展钱包,支持所有的包括以太坊、BNB Chain在内的EVM区块链及Solana,并且可以用于Chrome、Brave、Opera等浏览器。 用户可通过Trust Wallet网页浏览器扩展功能在以太坊、BNB Chain、Polygon 和Avalanche等EVM区块链和Solana上进行代币管理、安全储存、发送和接收,上限为800万种,还可定制添加其它EVM链。
18:12
Trust Wallet:去年11月14日至23日创建新钱包的地址存在漏洞已为受影响用户创建补偿流程
4月22日消息,加密货币钱包 Trust Wallet 发布《WASM 漏洞、事件更新与建议措施》,公告指出,2022 年 11 月,一名安全研究人员通过漏洞赏金计划报告 Trust Wallet 开源库 Wallet Core 中的 WebAssembly(WASM)漏洞。Trust Wallet Browser Extension 在 Wallet Core 中使用 WASM,Browser Extension 在 2022 年 11 月 14 日至 23 日期间生成的新钱包地址包含此漏洞。Trust Wallet 迅速修补了漏洞,所有在这些日期之后创建的地址都是安全的。 不过,Trust Wallet 仍然检测到两个潜在的漏洞,在攻击发生时造成了大约 17 万美元的总损失。对此,Trust Wallet 将补偿因漏洞导致的黑客攻击而造成的符合条件的损失,并为受影响的用户创建了补偿流程。此外,Trust Wallet 敦促受影响的用户尽快转移所有易受攻击地址上剩余的约 88,000 美元余额。 对于只使用 Trust Wallet 移动端、只将钱包地址导入浏览器扩展程序、在 2023 年 11 月 14 日之前或 2022 年 11 月 23 日之后仅使用浏览器扩展程序创建了一个新钱包的用户不受此漏洞影响。如果用户在 TW Browser Extension 收到警告通知,将有可能受到影响。对于在 2022 年 12 月下旬和 2023 年 3 月下旬存在异常资金流动的用户,可能是遭受这两个漏洞利用的少数受害者之一。
19:48
慢雾:警惕Web3钱包WalletConnect钓鱼风险
金色财经报道,慢雾安全团队发现 Web3 钱包上关于 WalletConnect 使用不当可能存在被钓鱼的安全风险问题。这个问题存在于使用移动端钱包 App 内置的 DApp Browser + WalletConnect 的场景下。 慢雾发现,部分 Web3 钱包在提供 WalletConnect 支持的时候,没有对 WalletConnect 的交易弹窗要在哪个区域弹出进行限制,因此会在钱包的任意界面弹出签名请求。
14:00
慢雾余弦:注意名为“AggrTrade”的浏览器扩展插件
金色财经报道,慢雾创始人余弦发推表示,注意名为“AggrTrade”的浏览器扩展插件,该扩展插件偷用户交易所的Cookies等权限信息,如果安装了,尽快删除,并修改各平台账号密码及2FA、重置交易API等。
11:55
慢雾安全:旧版本的Clorio Wallet存在安全漏洞
据慢雾区消息,受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵问题影响,目前社区已有多人反馈钱包私钥被窃取,慢雾安全团队经过调查发现:使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0 版本创建的钱包将存在被盗风险。 建议有使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0(2021 年 5 月 28 日)创建钱包的用户确保将钱包更新到最新版本(Clorio Wallet v1.0.0),并且重新创建新的钱包地址,将资金转移到新创建的钱包地址上以保证资产安全。 存在漏洞的钱包版本:Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本:o1labs/client-sdk < 1.0.1。
11:55
慢雾创始人发布MetaMask浏览器插件失效解决法方案
2月16日,慢雾创始人在回复社区成员问题时,分享 MetaMask 浏览器插件无法启动解决法方案,在没有备份过助记词/私钥,同时重启插件/电脑均无法解决的情况下,可在电脑本地全局搜索 nkbihfbeogaeaoehlefnkodbefgpgknn,这是 MM 扩展 id,如这个目录下: C:\Users\[User]\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settingskbihfbeogaeaoehlefnkodbefgpgknn 找到 ldb/log 这些文件,在这些文件里找到如图目标内容。 后用 metamask.github.io/vault-decryptor/解开这段目标内容,Password 就是目标 MetaMask 扩展的密码。 若 MM 的任意扩展页面可以打开,比如:chrome-extension://nkbihfbeogaeaoehlefnkodbefgpgknn/home.html,则用下面的方式也有得到待解密的内容: chrome.storage.local.get('data', result => { var vault = http://result.data.KeyringController.vault console.log(vault) })
Copyright © 2018-2022 211COIN版权所有.