На сайте бумажного криптокошелька WalletGenerator обнаружили серьезную уязвимость

Anycoin.news
На сайте с 24.08.2017
Offline
2308
121

Создатели криптовалютного бумажного онлайн-кошелька WalletGenerator.net продолжительное время использовали код, который генерировал одинаковые пары приватного и публичного ключей для нескольких пользователей. Уязвимость описал в блоге специалист по криптобезопасности Гарри Дэнли (Harry Denley) из MyCrypto.

По его словам, неисправный код работал с августа 2018 года и был исправлен только к 23 мая. Предполагается, что действующий код на веб-сайте должен соответствовать выложенному на GitHub, но между двумя версиями обнаружились различия. Изучив работающий код, команда MyCrypto пришла к выводу, что он генерирует ключи детерминировано, а не случайно.

В одном из тестов, проведенных с 18 по 23 мая, специалисты MyCrypto попытались использовать генератор веб-сайта для создания 1000 пар ключей. Версия с GitHub вернула 1000 уникальных ключей, а работающий код вернул только 120. Данный показатель не менялся при изменении настроек браузера, включая обновления или изменения VPN.

Наличие случайной генерации ключей крайне важно для обеспечения безопасности кошельков, отмечает Дэнли. Команда WalletGenerator исправила проблему после того, как к ним обратились из MyCrypto, но ошибку не признала.

MyCrypto рекомендует пользователям бумажного криптокошелька, которые генерировали ключи после 17 августа 2018 года, перевести средства на другие адреса и лучше не пользоваться WalletGenerator.net.

Напомним, в апреле было обнаружено, что злоумышленнику удалось похитить 45000 ETH, угадав уязвимые приватные ключи Ethereum.

Читать на anycoin.news...

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий