Die Schwachstelle steckt in Trust Wallet Core, der Kernbibliothek der Trust-Wallet-Browsererweiterung, und ermöglicht den Diebstahl hinterlegter Kryptowerte. Ursache ist eine viel zu geringe Zufälligkeit bei der Erzeugung der Wallet-Wiederherstellungsphrase (Mnemonic): Der verwendete Mersenne-Twister-Zufallsgenerator wird nur mit einem einzigen 32-Bit-Wert als Startwert gespeist. Dadurch gibt es lediglich rund vier Milliarden mögliche Wiederherstellungsphrasen – ein Raum, der klein genug ist, um ihn vollständig durchzurechnen. Ein Angreifer kann sämtliche mit der betroffenen Erweiterung erzeugten Wallets rekonstruieren: Er ermittelt alle in Frage kommenden Adressen und prüft, welche davon von dieser Erweiterung hätten erstellt worden sein können. Auf diese Weise lassen sich die zugehörigen privaten Schlüssel ableiten und die Guthaben abziehen. Betroffen sind alle mit den verwundbaren Versionen der Erweiterung angelegten Wallets; die Schwachstelle wurde bereits aktiv ausgenutzt. Ein bloßes Update genügt hier nicht – vorhandene Guthaben müssen zusätzlich auf eine neu erzeugte Wallet-Adresse übertragen werden.
CVE-2023-31290
5,9
MEDIUM
CVSS Basis-Score
Beschreibung