#Trust Wallet安全事件 Только что посмотрел полный разбор инцидента с уязвимостью приватных ключей Trust Wallet и действительно хочу предупредить всех. Взлом приватных ключей биткоинов на сумму 15 миллиардов долларов звучит очень далеко от нас, но уязвимость в генерации случайных чисел, стоящая за этим, постоянно угрожает безопасности наших кошельков.

Ключевые моменты для вас: слабый алгоритм генерации случайных чисел (Mersenne Twister), хотя и кажется продвинутым, на самом деле не может генерировать по-настоящему 256-битные случайные числа, он лишь циклично повторяется в ограниченном диапазоне. Это означает, что хакеры могут быстро перебрать все возможные слабые приватные ключи методом полного перебора и сразу разблокировать ваш кошелек — это не вопрос вероятности, а вопрос неизбежности.

С 2019 по 2020 год только пул Lubian оказался в опасной зоне с более чем 53 500 BTC, а 220 000 слабых ключей до сих пор продолжают привлекать активы. В конце декабря 2020 года произошел масштабный вывод — за несколько часов было выведено 136 951 биткоин на сумму 3,7 миллиарда долларов. Хотя Trust Wallet позже исправил уязвимость, с момента обнаружения в ноябре 2022 до официального раскрытия в апреле 2023 прошло много времени, за которое хакеры неоднократно получали доступ.

Для нас, любителей крипты, урок очень очевиден: при самостоятельном управлении кошельками обязательно используйте официальные кошельки проверенных проектов или аппаратные кошельки. Не стоит экономить и использовать малоизвестные инструменты для генерации приватных ключей. Перед взаимодействием с новым проектом обязательно проверьте механизм генерации случайных чисел в кошельке, а если не уверены — используйте проверенные аппаратные кошельки типа Ledger или Trezor. И очень важно — регулярно проверяйте безопасность старых кошельков, чтобы адреса, созданные несколько лет назад, не стали уязвимостью.

Стоимость безопасности не должна быть низкой — это первый урок для всех любителей крипты.