trust wallet被爆私钥漏洞已被黑17万美元！官方：将赔偿受害者 -凯发官网入口首页

ykqjz财经(www.ykqjz.com)讯：曾获得币安创办人赵长鹏(cz)亲自加持的trust wallet在今日发布公告披露，在去年11月，有一名安全研究人员借由漏洞赏金计划，报告trust wallet开源库wallet core中存在web assembly(wasm)漏洞。

该公告提到，trust wallet浏览器扩充功能在wallet core中使用wasm，在去年11月14日至23日期间，通过浏览器扩充功能生成的新钱包地址存在此漏洞，不过trust wallet已迅速修复漏洞，在这些日期之后生成的地址都是安全的。

然而，trust wallet仍发现两个潜在漏洞，导致在攻击发生时，造成约17万美元损失。

对此，trust wallet承诺，将补偿因漏洞造成的骇客攻击损失，为受害用户建立补偿程序，该公告还呼吁受影响用户尽快转移所有易受攻击地址上剩余的约8.8万美元资金。

如何检查是否受漏洞影响？

该公告提到，在以下情况下，用户的钱包地址不会受此漏洞影响：

只使用trust wallet手机app

只将钱包地址汇入浏览器扩充功能

只是在2022年11月14日之前、或2022年11月23日之后使用浏览器扩充功能建立新钱包的用户

如果用户的钱包为易受攻击地址，用户将在浏览器扩充功能上看到警示通知，建议应创建一个新钱包地址、移动资产，停止使用易受攻击地址，请避免使用不是用户自己所创建的钱包地址，以免被骗子利用。

另外，需注意的是，在2022年12月下旬和2023年3月下旬发现钱包存在异常资金流动的用户，可能是遭受上述提及的两个潜在漏洞攻击的少数受害者之一，trust wallet将向每个受害者偿还资金，该团队有所有受影响钱包的确切清单。

慢雾：漏洞致钱包私钥有被破解风险

慢雾创办人余弦发推提醒，如果用了trust wallet浏览器扩充功能，且在2022年11月14日至23日期间创建钱包，那么该钱包就存在风险，本质原因是当时trust wallet浏览器扩充功能使用的mt19937伪随机数生成器，没有提供足够的随机性，导致私钥可以被破解，目前trust wallet已披露该风险，所幸损失小。