El equipo de Trust Wallet tardó unos días en reparar una vulnerabilidad que ponía en riesgo los fondos de los usuarios y lanzar la solución necesaria. Pero la popular billetera criptográfica no reconoció públicamente el problema durante meses, e incluso ahora dice que los usuarios afectados deberán mudarse a una nueva dirección de billetera para proteger sus fondos.
El sábado, Trust Wallet anunció que solucionó una vulnerabilidad que afecta a los usuarios que crearon una billetera digital utilizando la extensión del navegador del proyecto entre el 13 y el 23 de noviembre del año pasado. La solución solo beneficia a las carteras de navegador creadas después del 23 de noviembre.
“Para estar libre de la vulnerabilidad, los usuarios deben migrar sus activos de las direcciones de billetera afectadas a nuevas direcciones de billetera no afectadas”, dijo Trust Wallet en un comunicado. entrada en el blog. “En estas circunstancias, tomamos todas las medidas posibles para informar a los usuarios y ayudarlos a mitigar el riesgo de posibles ataques”.
El proyecto de billetera respaldado por Binance dijo que un investigador de seguridad lo alertó inicialmente sobre el problema el otoño pasado, quien señaló un problema en su biblioteca de código abierto que exponía las claves privadas a un riesgo de seguridad.
Aunque la mayoría de los fondos vulnerables de los usuarios han sido asegurados, Trust Wallet dice que $88,300 de los fondos aún están expuestos. Trust Wallet reconoció que algunos usuarios habían sido víctimas de la vulnerabilidad y se comprometió en Twitter a ofrecerles un reembolso.
“A pesar de nuestros mejores esfuerzos para minimizar las pérdidas, identificamos proactivamente 2 posibles exploits con una pérdida total de $170,000”, dijo el proyecto en Twitter. “Para hacer lo correcto con los usuarios, creamos un proceso de reembolso para que los usuarios afectados los recuperen”.
Una vez que se solucionó la vulnerabilidad, evitando que las nuevas billeteras se vean afectadas, el equipo del proyecto dice que debatió si divulgar la vulnerabilidad públicamente.
“Nuestro objetivo principal era ayudar a los usuarios a preservar la mayor cantidad posible de sus activos y evitar posibles pérdidas”, dijo. “Creíamos que la comunicación confidencial e individual con los usuarios les permitiría tomar las medidas necesarias sin sacrificar la propiedad exclusiva de sus activos”.
El proyecto dijo que llegó a los usuarios afectados a través de múltiples rondas de notificaciones automáticas móviles y advertencias en la aplicación que aparecían cada minuto. Los mensajes iban acompañados de instrucciones claras sobre cómo los usuarios podían transferir sus activos, dijo.
Trust Wallet no solo ofreció atención al cliente a los usuarios, sino que el proyecto también ofreció reembolsar las tarifas de gasolina para los usuarios que transfirieran sus fondos a billeteras no comprometidas. En total, Trust Wallet reembolsó alrededor de 23,6 BNB de tarifas de gasolina, o alrededor de $7700.
Además, Trust Wallet se acercó a Binance y aseguró la ayuda del intercambio para comunicarse con los usuarios que tenían fondos que podían rastrearse hasta el intercambio. El proyecto enfatizó que hizo no compartir “información de identificación personal” con el intercambio.
El proyecto agradeció al equipo de seguridad de Binance por “evaluar el problema, realizar evaluaciones de riesgo, escalar el asunto, realizar análisis de impacto y comunicarse con el investigador de seguridad”.
Trust Wallet dijo que había preparado una declaración pública sobre la vulnerabilidad en noviembre pasado, pero decidió esperar, sopesando el valor de informar al público frente a la posibilidad de resaltar un agujero de seguridad que aún podría usarse.
La fecha de la advertencia pública finalmente se retrasaría de febrero a abril.
“Consideramos que una vez que se hizo la divulgación, un mal actor podría explotar las billeteras restantes y tomar posesión de los fondos restantes”, dijo. “Por lo tanto, les dimos a los usuarios afectados más tiempo para asegurar su fondo[s] en lugar de hacer un[…] revelación prematura”.
Manténgase al tanto de las noticias criptográficas, obtenga actualizaciones diarias en su bandeja de entrada.
