Trust Wallet：iOS的iMessage存在高风险漏洞，建议禁用直到漏洞被修补

金色财经报道，加密钱包提供商Trust Wallet发文称，暗网上针对iMessage的高风险零日漏洞以200万美元的价格出售，该漏洞无需用户点击链接即可渗透并控制iPhone用户。建议Apple用户尽快禁用iMessage，直到Apple修复此问题。

金色财经报道，美国国家标准与技术研究院(NIST) 正在分析 iOS 版本的 Binance Trust Wallet 应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，Binance Trust Wallet 应用程序的特定版本“滥用了 trezor-crypto 库”来生成只能验证的助记词 在熵源处。 熵源是生成数据的物理位置。 NIST 指出，类似的漏洞在 2023 年 7 月被利用，导致经济损失。该信息于 2 月 8 日公开，目前正在等待分析以确定该漏洞的实际范围。

4月22日消息，加密货币钱包 Trust Wallet 发布《WASM 漏洞、事件更新与建议措施》，公告指出，2022 年 11 月，一名安全研究人员通过漏洞赏金计划报告 Trust Wallet 开源库 Wallet Core 中的 WebAssembly（WASM）漏洞。Trust Wallet Browser Extension 在 Wallet Core 中使用 WASM，Browser Extension 在 2022 年 11 月 14 日至 23 日期间生成的新钱包地址包含此漏洞。Trust Wallet 迅速修补了漏洞，所有在这些日期之后创建的地址都是安全的。 不过，Trust Wallet 仍然检测到两个潜在的漏洞，在攻击发生时造成了大约 17 万美元的总损失。对此，Trust Wallet 将补偿因漏洞导致的黑客攻击而造成的符合条件的损失，并为受影响的用户创建了补偿流程。此外，Trust Wallet 敦促受影响的用户尽快转移所有易受攻击地址上剩余的约 88,000 美元余额。 对于只使用 Trust Wallet 移动端、只将钱包地址导入浏览器扩展程序、在 2023 年 11 月 14 日之前或 2022 年 11 月 23 日之后仅使用浏览器扩展程序创建了一个新钱包的用户不受此漏洞影响。如果用户在 TW Browser Extension 收到警告通知，将有可能受到影响。对于在 2022 年 12 月下旬和 2023 年 3 月下旬存在异常资金流动的用户，可能是遭受这两个漏洞利用的少数受害者之一。

6月5日消息，网络安全解决方案 Kaspersky CEO Eugene Kaspersky 发推称，发现一种针对 iOS 的新型网络攻击，名为 Triangulation。该攻击从带有恶意附件的 iMessage 开始，利用 iOS 中的一些漏洞安装间谍软件，无需用户操作。Triangulation 将私人信息传输给远程服务器：麦克风录音、即时通讯工具的照片、地理位置和其他一些活动的数据。Kaspersky 表示，Triangulation 与已知的 Pegasus、Predator 或 Reign 并没有重叠，同时，禁用 iMessage 可防止 iOS 设备遭受 Triangulation 攻击。

金色财经报道，跨链基础设施 Magpie Protocol 发文称合约存在漏洞，督促曾对授权过其合约且钱包内仍持有资金的用户尽快取消各条链上的相关合约授权。

金色财经报道，数字资产安全平台 Fireblocks 在加密货币托管公司 BitGo 的阈值签名方案 (TSS) 钱包中发现了一个严重漏洞，使其用户的私钥面临被潜在黑客攻击的风险。据悉，BitGo 在得知该漏洞后于 2022 年 12 月立即暂停了受影响的钱包服务，该漏洞被称为“BitGo 零证明漏洞” 。该公司随后于 2023 年 2 月发布了一个补丁来解决标记的问题，并通知客户在 3 月 17 日之前更新他们的系统。（The block）