Aclarando los Hechos: Vulnerabilidad de 2018"

Introducción

Hoy, la comunidad ha señalado varias noticias que dicen que el Instituto Nacional de Estándares y Tecnología (NIST) está investigando activamente una vulnerabilidad de 2018 en la aplicación de Trust Wallet para iOS, la cual se solucionó rápidamente ese mismo año.

Queremos asegurar a los usuarios de Trust Wallet que sus fondos están seguros y que las carteras son seguras para su uso. Aunque hubo una vulnerabilidad anterior en nuestro código de fuente abierta a principios de 2018 que afectó solo a unos pocos miles de usuarios, la vulnerabilidad se parcheó rápidamente con el apoyo de la comunidad de seguridad, y los usuarios afectados fueron notificados y migrados a carteras seguras de inmediato.

Apreciamos mucho cuánto se preocupa la comunidad por la seguridad de nuestra plataforma. Los artículos y los informes de seguridad originales enviados a CVE contienen varias inexactitudes y la información presentada ya no es relevante para las bibliotecas de código abierto y los productos actuales de Trust Wallet. En esta declaración, primero aclararemos las inexactitudes y compartiremos más información sobre la vulnerabilidad resuelta anteriormente.

Trust Wallet no está siendo investigada por las agencias de Estados Unidos

Contrariamente a lo que indican los artículos, Trust Wallet no está siendo investigada por el gobierno de EE. UU., las autoridades cibernéticas de EE. UU. o el NIST. La mención del Instituto Nacional de Estándares y Tecnología (NIST) podría sugerir un escrutinio oficial del gobierno. Sin embargo, es esencial entender que el NIST opera una plataforma y una base de datos sin fines de lucro que permite a cualquier miembro del público enviar información para su revisión e inclusión en la base de datos CVE.

La información destacada en los artículos de noticias no proviene de una investigación liderada por el gobierno oficial. En cambio, la información se proporcionó a través de una presentación a una base de datos abierta accesible al público, donde los representantes independientes pueden enviar informes de vulnerabilidad.

La vulnerabilidad de 2018

La vulnerabilidad mencionada, derivada del uso de la librería de Trezor, fue efectivamente identificada en 2018 y existía para las carteras de iOS creadas entre marzo de 2018 y solucionada en julio de 2018. Este problema afectó un número finito de 10,000 descargas. Trust Wallet era un proyecto de código abierto en ese momento, por lo tanto, todos los commits de código y soluciones son públicos y transparentes en todo momento.

Además de solucionar el código en sí, el fundador de Trust Wallet tomó medidas rápidas y proactivas para informar a todos los usuarios afectados y les proporcionó un camino de migración seguro, asegurando que ningún usuario quedara vulnerable. También se encontró que las direcciones de las carteras vulnerables identificadas en la base de datos de Trust Wallet ya no tienen saldos.

Exploit de julio de 2023

Mientras que el artículo y las fuentes de su informe de seguridad narran con precisión una librería utilizada en toda la industria en 2017 (antes de Trust Wallet) y utilizada por la aplicación de Trust Wallet para iOS a principios de 2018, incorrectamente implica a Trust Wallet como la causa raíz del exploit de julio de 2023.

El año pasado, nuestro equipo revisó cuidadosamente cuándo ocurrió el exploit. Se mostró una fuerte evidencia de que las billeteras que se vaciaron el 12 de julio de 2023 NO son específicas de Trust Wallet y probablemente fueron causadas por múltiples fuentes, por lo que es muy poco probable que Trust Wallet sea la causa raíz. En primer lugar, solo encontramos seiscientas direcciones de las dos mil afectadas en nuestra base de datos, y no sabemos si se generaron o se importaron en Trust Wallet. Además, solo 1/3 de ellas tienen la vulnerabilidad histórica de Trust Wallet de 2018 (ver a continuación). Estamos seguros de que la vulnerabilidad de Trust Wallet de 2018 no fue el origen de la brecha de seguridad de julio de 2023, y compartiremos más sobre la vulnerabilidad de 2018 a continuación.

Invitación a contribuciones significativas en seguridad

Nos hemos beneficiado mucho del apoyo de la comunidad de seguridad para mantener nuestra plataforma segura. Seguimos acogiendo y fomentando de manera abierta las contribuciones significativas para prevenir proactivamente incidentes de seguridad. De hecho, los miembros de la comunidad pueden utilizar nuestro programa de recompensas por errores para identificar proactivamente las vulnerabilidades. Trust Wallet cree en el poder de la colaboración y la importancia del periodismo basado en hechos. Si bien es fundamental abordar las preocupaciones y las vulnerabilidades de seguridad, es igualmente importante asegurar que la información compartida con el público sea precisa y actual.

Queremos reiterar a nuestros usuarios y a la comunidad en general que Trust Wallet sigue dedicándose a proporcionar una pasarela segura para explorar la Web3. Para obtener más información sobre nuestras medidas de seguridad y cómo protegemos los activos de los usuarios, por favor visite nuestra página de seguridad.

Únase a la comunidad de Trust Wallet en Telegram Síganos en X (anteriormente Twitter) Instagram Facebook Reddit

Nota: Cualquier número, figura o ilustración citada se informa al momento de escribir, y están sujetas a cambios.