Страницы

вторник, 28 мая 2019 г.

WalletGenerator.net использовал уязвимый код


Онлайн-конструктор бумажного криптовалютного кошелька WalletGenerator.net ранее использовал код, который мог предоставить пары закрытого ключа/открытого ключа нескольким пользователям. Данная критическая уязвимость была подробно описана в официальном блоге, в

посте

Гарри Денли из MyCrypto, посвященном исследовательской безопасности 24 мая.

Согласно сообщению, плохой код появился в августе 2018 года и был исправлен только недавно, 23 мая 2019 года. Предполагается, что действующий код на веб-сайте должен иметь открытый исходный код и проверяться на GitHub, но видимо это не было сделано. Изучив исходный код, Денли пришел к выводу, что ключи были сгенерированы детерминистически в реальной версии сайта, а не случайным образом.

В одном из тестов MyCrypto, проведенном с 18 по 23 мая, они попытались использовать массовый генератор веб-сайта для создания 1000 ключей. Версия на GitHub вернула 1000 уникальных ключей, но живой код вернул 120 ключей. Запуск массового генератора всегда, по сообщениям, возвращал 120 уникальных ключей вместо 1000, даже когда были изменены другие факторы, включая обновления браузера, изменения VPN или изменения пользователя.

Генерируемая случайность необходима для генерации пар ключей для обеспечения безопасности бумажных кошельков.

WalletGenerator исправил проблему детерминизма после того, как MyCrypto обратился к команде в середине своего исследования. После этого WalletGenerator ответил, что обвинения не могут быть проверены, и даже спросил корреспондента, был ли MyCrypto «фишинговым сайтом».

MyCrypto добавил, что пользователи, которые сгенерировали пары ключей после 17 августа 2018 года, должны немедленно перевести свои средства на другой кошелек и рекомендовали не использовать пока WalletGenerator.net.

Напомним, ранее мы писали, что

Kraken предлагает вознаграждение $100 000 за информацию, которая поможет получить доступ к потерянным кошелькам QuadrigaCX

QuadrigaCX: Приватные ключи от холодного хранилища могут храниться в сейфовой ячейке банка

Guarda: Появившиеся в сети кошельки предстоящих форков Ethereum тайно отправляют личные ключи на удаленные сервера

Исследование: некоторые закрытые ключи на блокчейне Ethereum уязвимы перед атаками

Комментариев нет:

Отправка комментария