#Trust Wallet安全事件 Переглянувши всю ланцюг подій навколо Trust Wallet, я мушу висловитися — саме через це я зараз насторожено ставлюся до слова "випадковість".

150 мільярдів доларів у біткоїнах були зламані американськими правоохоронцями, і здається, що це перемога правоохоронних органів, але за цим стоїть ще більш жахлива правда. Що таке слабкий генератор випадкових чисел Mersenne Twister, що таке інцидент Milk Sad — це не якісь високотехнологічні чорні технології, а просто недбалість у найпростіших безпекових ланках гаманців і майнінг-пулів. У період з 2019 по 2020 рік, ті 220 000 гаманців із слабкими ключами, їхні користувачі навіть не підозрювали, що приватні ключі, які вони використовують, — це ніби "застрялий пристрій", що постійно крутиться у межах обмеженого діапазону.

Найіронічніше, що у грудні 2020 року сталася масштабна евакуація — за одну ніч було переказано 136 951 біткоїн, і тоді ніхто не міг точно сказати, чи це хакери, чи команда проекту продає на піку. Лише після розкриття вразливості bx seed у 2023 році, хтось повернувся до аналізу і зрозумів, що перекази 2020 року цілком співпадають із слабкими ключами Lubian. П’ять років, і лише тепер я зрозумів, що сталося.

Цей досвід дає мені чіткий урок: твій гаманець — не твій гроші, але спершу потрібно переконатися, що сам гаманець безпечний. Ті гаманці, що нібито підтримують кілька ланцюгів і мають повний функціонал, здаються зручними, але якщо нижній рівень генерації випадкових чисел має проблеми, вся ваша "обізнаність у безпеці" — даремна. Зараз я ставлю питання до будь-якого гаманця — як генерується цей приватний ключ? Який алгоритм використовується? Чи проводився незалежний аудит безпеки? Якщо не з’ясувати ці питання, я не можу навіть вкладати туди свої гроші.

Це не надмірна обережність, це урок, який мене навчив час.