米国商務省内の機関である国立標準技術研究所(NIST)は現在、Binance Trust WalletアプリケーションのiOSバージョンにある特定の脆弱性を精査しています。

この調査は、悪用された場合、攻撃者がユーザーの暗号通貨ウォレットに不正にアクセスして資金を流用できる可能性があるセキュリティ上の欠陥に焦点を当てています。調査の焦点は、エントロピーソースで排他的に認証される必要があるユーザー資金の安全を確保するために重要なニーモニックワードを生成するために、アプリケーションがtrezor-cryptoライブラリをどのように不適切に利用しているかにあります。

この問題は、同様の脆弱性の悪用により経済的損害が発生した2023年7月の前例と類似しています。NISTの現在の取り組みは、ニーモニック生成を操作して特定のウォレットアドレスに不正にリンクし、それによって不正な資金引き出しを容易にする可能性を注意深く評価することを目的としています。この重要な分析は2月8日に公開され、実際的な影響と脆弱性の影響の範囲を確認することを目的としています。

同時に、米国土安全保障省の支援を受けたCVEデータベースは、イーサウォレットへの不正アクセスが相次ぎ、Secbit Labsを通じてトラストウォレットへの調査を開始しました。この調査では、2018年に遡るiOSプラットフォームのバージョンのTrust Walletの脆弱性が特定され、2023年7月12日に記録された大規模な盗難と直接相関していました。

こうしたセキュリティ上の懸念についてバイナンスは沈黙を守ってきましたが、ミルク・サッドによる独立した調査により重大なリスクが明らかになりました。このレビューでは、潜在的なリスクにさらされている6,500を超えるウォレットニーモニックが特定され、trezor-cryptoライブラリ内の安全でない関数の使用に対する脆弱性が特定されました。この暴露は、ミルク・サッド盗難事件で利用された手口と直接関係しており、欠陥の重大な性質を強調しています。

NISTの調査の結論は、アプリの脆弱性に、アプリがユーザーにもたらす潜在的なリスクを反映する0から10の範囲で基本重大度スコアを割り当てることで最高潮に達します。このステップは、セキュリティ上の欠陥の重大性についてユーザーをガイドする上で極めて重要です。

Trust Walletの脆弱性に関する最近の出来事は、Binanceが直面した唯一の課題ではありません。仮想通貨取引所は、GitHub上のBinanceユーザーデータの入手可能性に関するXの申し立てを受けて、システム漏洩の噂にも対処しています。これらの主張に対する断固とした反論の中で、バイナンスはアカウントの完全性と安全性についてコミュニティを安心させ、いかなる侵害も断固として否定しました。

一方、CNBCが報じたところによると、バイナンスの創設者であるチャオ・チャンペン氏に対する判決は、当初の2月23日から4月30日に延期されました。この遅延の理由は明らかにされておらず、チャオ氏の弁護士はコメントを拒否しました。