【慢雾：Distrust发现严重漏洞，影响使用Libbitcoin Explorer3.x版本的加密钱包】

【慢雾：Distrust发现严重漏洞，影响使用LibbitcoinExplorer3.x版本的加密钱包】2023年08月10日07点09分老不正经报道，据慢雾区消息，Distrust发现了一个严重的漏洞，影响了使用LibbitcoinExplorer3.x版本的加密货币钱包。该漏洞允许攻击者通过破解MersenneTwister伪随机数生成器（PRNG）来访问钱包的私钥，目前已在现实世界中造成了实际影响。漏洞详情：该漏洞源于LibbitcoinExplorer3.x版本中的伪随机数生成器（PRNG）实现。该实现使用了MersenneTwister算法，并且仅使用了32位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。影响范围：该漏洞影响了所有使用LibbitcoinExplorer3.x版本生成钱包的用户，以及使用libbitcoin-system3.6开发库的应用。已知受影响的加密货币包括Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、BitcoinCash和Zcash等。风险评估：由于该漏洞的存在，攻击者可以访问并控制用户的钱包，从而窃取其中的资金。截至2023年8月，已有超过$900,000美元的加密货币资产被盗。解决方案：我们强烈建议所有使用LibbitcoinExplorer3.x版本的用户立即停止使用受影响的钱包，并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。

【Trust Wallet：去年 11 月 14 日至 23 日创建新钱包的地址存在漏洞，已为受影响用户创建补偿流程】

【TrustWallet：去年11月14日至23日创建新钱包的地址存在漏洞，已为受影响用户创建补偿流程】2023年04月22日06点13分4月22日消息，加密货币钱包TrustWallet发布《WASM漏洞、事件更新与建议措施》，公告指出，2022年11月，一名安全研究人员通过漏洞赏金计划报告TrustWallet开源库WalletCore中的WebAssembly（WASM）漏洞。TrustWalletBrowserExtension在WalletCore中使用WASM，BrowserExtension在2022年11月14日至23日期间生成的新钱包地址包含此漏洞。TrustWallet迅速修补了漏洞，所有在这些日期之后创建的地址都是安全的。不过，TrustWallet仍然检测到两个潜在的漏洞，在攻击发生时造成了大约17万美元的总损失。对此，TrustWallet将补偿因漏洞导致的黑客攻击而造成的符合条件的损失，并为受影响的用户创建了补偿流程。此外，TrustWallet敦促受影响的用户尽快转移所有易受攻击地址上剩余的约88,000美元余额。对于只使用TrustWallet移动端、只将钱包地址导入浏览器扩展程序、在2023年11月14日之前或2022年11月23日之后仅使用浏览器扩展程序创建了一个新钱包的用户不受此漏洞影响。如果用户在TWBrowserExtension收到警告通知，将有可能受到影响。对于在2022年12月下旬和2023年3月下旬存在异常资金流动的用户，可能是遭受这两个漏洞利用的少数受害者之一。

美国 NIST 正调查 Binance Trust Wallet iOS 应用程序的漏洞

美国NIST正调查BinanceTrustWalletiOS应用程序的漏洞美国国家标准与技术研究院(NIST)正在分析iOS版本的BinanceTrustWallet应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，BinanceTrustWallet应用程序的特定版本“滥用了trezor-crypto库”来生成只能验证的助记词在熵源处。熵源是生成数据的物理位置。NIST指出，类似的漏洞在2023年7月被利用，导致经济损失。该信息于2月8日公开，目前正在等待分析以确定该漏洞的实际范围。

【Klever Wallet：受影响钱包均为使用伪随机数生成器算法生成后导入】

【KleverWallet：受影响钱包均为使用伪随机数生成器算法生成后导入】7月13日消息，KleverWallet发推表示，经过彻底调查，已确定所有在7月12日受到可疑活动影响的钱包都受到了一个已知漏洞的影响，此漏洞是由低熵助记词引起的，存在缺陷的对应算法（Bip39使用的随机生成算法会损害生成私钥时的安全性和不可预测性，可能使其容易受到未经授权访问或恶意活动的攻击。在上述事件中，所有涉及的钱包最初并非使用KleverWalletK5创建，均为钱包生成后导入到KleverWalletK5中，且是使用旧的、弱伪随机数生成器PRNG算法作为熵源创建的，会严重损害生成私钥的安全性和不可预测性，从而可能更容易受到攻击或未经授权的访问。强烈建议如果用户目前拥有在KleverWallet之前创建的旧钱包，请务必立即迁移到在KleverWalletK5或KleverSafe上创建的新钱包，保护它们免受与过时或弱伪随机数生成器算法相关的潜在漏洞的影响。快讯/广告联系@xingkong888885

【美国正调查 Binance Trust Wallet iOS 应用程序的漏洞】

【美国正调查BinanceTrustWalletiOS应用程序的漏洞】2024年02月15日06点10分老不正经报道，美国国家标准与技术研究院(NIST)正在分析iOS版本的BinanceTrustWallet应用程序是否存在可能被用来窃取加密钱包资金的漏洞。NIST称，BinanceTrustWallet应用程序的特定版本“滥用了trezor-crypto库”来生成只能验证的助记词在熵源处。熵源是生成数据的物理位置。NIST指出，类似的漏洞在2023年7月被利用，导致经济损失。该信息于2月8日公开，目前正在等待分析以确定该漏洞的实际范围。

【慢雾创始人：2022年11月14日-23日期间使用Trust Wallet浏览器扩展创建的钱包存在风险】

【慢雾创始人：2022年11月14日-23日期间使用TrustWallet浏览器扩展创建的钱包存在风险】2023年04月22日05点49分4月22日消息，慢雾创始人余弦在社交媒体引用TrustWallet公告表示，若用户使用TrustWallet浏览器扩展且在2022年11月14日-23日期间创建了钱包，则该钱包将存在风险。本质原因是当时TrustWallet浏览器扩展使用的MT19937伪随机数生成器没有提供足够的随机性，导致私钥可以被破解。