Trust Wallet e i suoi problemi: Un'Indagine sulla Sicurezza e la Trasparenza
Trust wallet è sicuro?
Trust Wallet è un portafoglio digitale decentralizzato generalmente considerato sicuro, gode di buone recensioni, ideato per la memorizzazione, il ricevimento e l'invio di criptovalute. Ecco alcune delle sue principali caratteristiche e funzionalità:
- Supporto Multivaluta:
- Trust Wallet supporta una vasta gamma di criptovalute, inclusi Bitcoin, Ethereum, e altre altcoin, così come i token ERC20 e oltre 65 blockchain diverse, facilitando la gestione di un'ampia varietà di asset digitali in un unico posto.
- Interfaccia User-friendly:
- L'applicazione è conosciuta per la sua interfaccia semplice e intuitiva, rendendo facile anche per i principianti la gestione delle loro criptovalute.
- Accesso a DApp:
- Trust Wallet fornisce accesso a varie applicazioni decentralizzate (DApp) costruite su blockchain come Ethereum e la Smart Chain di Binance, permettendo agli utenti di interagire con queste piattaforme direttamente attraverso l'app.
- Non Custodiale:
- È un portafoglio non custodial, il che significa che gli utenti hanno il controllo completo della loro chiave privata Trust wallet e, di conseguenza, dei loro fondi3.
- Acquisto e Staking di Criptovalute:
- Gli utenti possono acquistare criptovalute direttamente attraverso l'app e partecipare allo staking di alcune criptovalute per guadagnare interessi3.
- Compatibilità con Dispositivi Mobili e Desktop:
- Trust Wallet è disponibile su dispositivi mobili e, di recente, anche su PC desktop tramite una estensione per browser web, offrendo agli utenti la flessibilità di gestire i loro asset cripto da più piattaforme.
- Privacy e Sicurezza:
- Progettato per mantenere i fondi degli utenti sicuri, Trust Wallet non raccoglie o memorizza dati personali, ed ha sistemi di sicurezza robusti per proteggere gli asset degli utenti.
- Proprietà di Binance:
- Trust Wallet è stato sviluppato dagli stessi creatori di Binance, una delle più grandi piattaforme di scambio di criptovalute al mondo, ed è il portafoglio ufficiale di Binance.
- Supporto NFT:
- Permette anche la memorizzazione e la gestione di token non fungibili (NFT) o beni digitali crittografici da collezione.
Trust Wallet è quindi un'opzione versatile per chi desidera un portafoglio digitale affidabile per gestire i suoi asset cripto. Ma su Trust wallet le opinioni specialmente nei tempi più recenti si sono animate e quasi infuocate su diversi forum.
Trust wallet problemi: perché si parla di problemi e truffe?
Le truffe legate a Trust Wallet sono principalmente associate a tentativi di phishing, in cui i truffatori cercano di ingannare gli utenti del portafoglio per ottenere accesso alle loro informazioni sensibili. Ecco alcuni modi in cui queste truffe possono manifestarsi:
- Tentativi di Phishing Generali:
- I truffatori possono inviare email o messaggi di testo falsi con oggetti o link ingannevoli, sostenendo che gli utenti possono guadagnare criptovaluta gratuita, che devono verificare la loro email, o che rischiano la sospensione del portafoglio. Alcuni utenti potrebbero anche accusare Trust Wallet di essere una truffa che trasferisce denaro senza permesso1.
- Phishing Specifico:
- In alcune truffe, i malintenzionati potrebbero fingere di essere parte del personale di supporto di Trust Wallet, inviando email riguardo a un presunto problema di sicurezza con il portafoglio dell'utente e chiedendo di confermare la frase seed (una sequenza di parole che consente l'accesso al portafoglio)2.
- Siti Web Falsi:
- Esistono siti web falsi che assomigliano molto a quello ufficiale di Trust Wallet. Se gli utenti inseriscono la loro frase di recupero su questi siti web, i truffatori possono accedere al loro Trust Wallet e trasferire tutte le criptovalute. A causa della natura decentralizzata delle criptovalute, sarebbe quasi impossibile recuperare i fondi persi3.
- Messaggi SMS Ingannevoli:
- Gli utenti di Trust Wallet possono ricevere messaggi SMS che sostengono ci sia qualche problema relativo al loro account - la verifica è la più comune. I link inclusi nei messaggi conducono a pagine di phishing false dove vengono raccolte le informazioni personali degli utenti4.
È importante notare che queste truffe non sono un riflesso della sicurezza o dell'affidabilità di Trust Wallet stesso, ma piuttosto di tattiche malevole usate da esterni per sfruttare gli utenti meno esperti. Per proteggersi, gli utenti dovrebbero essere cauti, evitare di condividere informazioni sensibili, e assicurarsi di utilizzare solo il sito web ufficiale e l'app di Trust Wallet.
L'hack da $170000 agli utenti di trust wallet
Trust wallet è stato hackerato di recente. Ne abbiamo parlato in un altro approfondimento qui.
L'hack da $170.000 agli utenti di Trust Wallet è avvenuto a causa di una vulnerabilità di sicurezza scoperta nel novembre 2022, che ha interessato le nuove indirizzi wallet generati tramite l'estensione del browser di Trust Wallet tra il 14 e il 23 novembre 2022. Questa vulnerabilità non è stata scoperta sul momento, ma solo alcuni mesi dopo, nel aprile 2023, quando Trust Wallet ha annunciato l'incidente. La scoperta è stata fatta attraverso il loro programma di bug bounty, quando un ricercatore di sicurezza ha segnalato una vulnerabilità nella libreria open-source Wallet Core, legata specificamente a WebAssembly. L'incidente ha portato a due exploit, causando una perdita totale di circa $170.000. Anche se la vulnerabilità è stata risolta, circa 500 indirizzi vulnerabili con un saldo di $88.000 rimangono. Per mitigare l'impatto dell'incidente, Trust Wallet ha esortato gli utenti colpiti a creare nuovi portafogli e trasferire i loro fondi per garantire la sicurezza. Inoltre, il team di Trust Wallet ha istituito un processo di risarcimento per compensare gli utenti colpiti dalla vulnerabilità e ha esteso il suo supporto agli utenti interessati, rimborsando circa $7.700 in spese di gas per coloro che trasferivano i loro fondi a portafogli sicuri e non compromessi.
L'incidente ha evidenziato una vulnerabilità nell'implementazione di WebAssembly (WASM) di Trust Wallet, che ha interessato i portafogli generati dalla sua estensione per browser durante il periodo specifico. Un ricercatore di sicurezza senza nome ha segnalato la vulnerabilità nel novembre 2022 attraverso il programma di bug bounty di Trust Wallet, portando alla luce la questione e aiutando a indirizzare il problema.
La vulnerabilità è stata risolta e Trust Wallet ha condiviso un aggiornamento finale sul processo di reclamo relativo alla vulnerabilità di WASM nel luglio 2023, chiudendo il processo di reclamo il 30 giugno 2023. L'intera operazione di hacking ha comportato una perdita totale di $170.000, sottolineando l'importanza della segnalazione tempestiva e della risoluzione delle vulnerabilità di sicurezza nel mondo delle criptovalute.
Trust Wallet: audit di sicurezza, come stanno le cose.
Trust Wallet è un progetto open source. Ciò significa che il suo codice sorgente è accessibile al pubblico, permettendo a chiunque di esaminarlo, modificarlo o migliorarlo. L'essere open source è spesso visto come un vantaggio in termini di trasparenza e sicurezza, poiché permette ad esperti esterni e alla comunità di sviluppatori di eseguire audit del codice per identificare e correggere eventuali vulnerabilità di sicurezza.
Gli audit del codice sono prassi comuni nell'ecosistema delle criptovalute e sono cruciali per mantenere la sicurezza e la fiducia nella piattaforma. Gli sviluppatori, i ricercatori di sicurezza e altre parti interessate possono esaminare il codice di Trust Wallet per assicurarsi che sia sicuro e non contenga bug o vulnerabilità che potrebbero essere sfruttate da attaccanti malintenzionati.
Se sei interessato a eseguire un audit del codice di Trust Wallet o a esaminarlo, puoi trovare il codice sorgente su piattaforme di hosting di codice open source come GitHub. Questo approccio open source contribuisce a creare una comunità attiva attorno a Trust Wallet, che può collaborare per migliorare la piattaforma e garantire la sua sicurezza a lungo termine.
Il codice non è completamente open
Il sito WalletScrutiny segnala che il codice sorgente di Trust Wallet è privato, il che implica che non sia possibile verificarlo pubblicamente. Questa mancanza di accesso al codice sorgente può sollevare preoccupazioni riguardo alla sicurezza e alla trasparenza di Trust Wallet, specialmente tra gli utenti esperti o coloro che preferiscono avere la possibilità di esaminare il codice sorgente delle applicazioni che utilizzano1. Questo potrebbe essere un fattore che contribuisce alle affermazioni secondo cui Trust Wallet offre una grande superficie d'attacco e non è completamente open source come potrebbe essere stato indicato in precedenza.
Sembra che ci sia stata una modifica nella gestione del codice sorgente di Trust Wallet per Android, rendendolo privato. Questa decisione potrebbe avere implicazioni sulla trasparenza e sull'auditabilità del codice da parte della comunità. È sempre consigliabile rimanere aggiornati sulle notizie e gli annunci ufficiali da parte del team di Trust Wallet per comprendere meglio qualsiasi cambiamento nella gestione del codice sorgente e nelle pratiche di sicurezza.
Il team di Trust Wallet ha effettivamente deciso di chiudere il codice sorgente della loro app su Android. Questa decisione è stata presa per motivi non specificati, ma è stata documentata su WalletScrutiny1. Questo cambio può avere implicazioni per la trasparenza e l'auditabilità del codice, che sono elementi cruciali per molti utenti e sviluppatori nel settore delle criptovalute
Conclusioni
La sicurezza di Trust Wallet può essere valutata considerando vari fattori come la risposta agli incidenti di sicurezza, la trasparenza del codice e le misure preventive implementate. Mentre la risposta proattiva di Trust Wallet all'incidente da $170.000 e il suo programma di bug bounty mostrano un impegno verso la sicurezza, la decisione di chiudere il codice sorgente su Android potrebbe sollevare preoccupazioni riguardo alla trasparenza e all'auditabilità. L'opinione generale sulla sicurezza potrebbe variare tra gli utenti. Nonostante Trust Wallet goda di buone recensioni la decisione di utilizzarlo dovrebbe essere accompagnata da una valutazione completa delle sue caratteristiche di sicurezza, delle risposte agli incidenti e delle buone pratiche di gestione del codice.