Смертельная уязвимость в WalletGenerato rсервис, который генерирует печатаемые закрытые и открытые ключи для хранения криптовалют, может повлиять на пользователей, которые вложили средства в кошельки, созданные сайтом после 17 августа 2018 года.
Аналитики MyCrypto обнаружили , что способность WalletGenerator по-настоящему «рандомизировать» открытый и закрытый ключи (пары ключей), что является важной частью обеспечения криптовалютной защиты и возможности взлома средств, была загрязнена. Вместо того, чтобы генерироваться случайным образом, они порождаются из единого статического источника данных; изображение, представленное на самом сайте WalletGenerator.
Это означает, что пары ключей могут быть легко воспроизведены плохим актером с доступом к данным изображения.
«Это полностью иллюстрирует, что случайность не случайна», - сказал в интервью Гарри Денли, директор по безопасности MyCrypto.
Он описал ошибку как «блестящую» за ее способность оставаться незамеченной.
«Обычно с помощью генераторов вредоносных ключей они отправляют сгенерированные секреты обратно на свой сервер, как только пользователь их сгенерировал», - сказал он.
Это оставляет секреты пользователю, оставляя его методы недоступными для отслеживания.
Другими словами, только тот, у кого есть доступ к изображениям - кто бы ни был за сайтом WalletGenerator - может воспроизводить пары ключей.
Денли в своем посте Medium добавил, что ошибки были загадочным образом устранены после того, как он обратился к оператору сайта 22 мая. Уязвимость изначально была вызвана «изменениями в коде», которые, по-видимому, были внесены в августе прошлого года, и эти изменения сохранились в Wayback Machine .
«В этом странном повороте событий мы до сих пор не знаем, является ли текущий владелец сайта злоумышленником, сервер небезопасен, или и то, и другое», - написал Денли в публикации Medium.
“Для страдающих? Денли советует пользователям немедленно «создать новую пару ключей / кошелек и перевести ваши средства на этот новый безопасный адрес”.
MyCrypto также рекомендует отправлять средства в BitAddress, автономный сервис холодных кошельков.
WalletGenerator выглядит довольно популярным и насчитывает около 140 000 пользователей в месяц. Его сервис позволяет пользователям загружать - предположительно - рандомизированную пару ключей на бумажный кошелек, который они затем могут распечатать и сохранить в автономном режиме.