Уязвимость функции JavaScript может быть опасна для владельцев биткоинов со старыми кошельками

22 апреля

Использовавшийся в старых онлайн-кошельках механизм генерации приватных ключей оказался предсказуемым.

Согласно предупреждению, опубликованному группой исследователей, хакеры могут воспользоваться старой криптографической уязвимостью JavaScript и похитить биткоины с адресов, которые генерировались с помощью приложения для создания кошельков на JavaScript.

Данная уязвимость связана с функцией JavaScript SecureRandom, которая может быть использована для генерации биткоин-адресов и приватных ключей. По утверждению ряда специалистов, данная функция, несмотря на ее название, не является на самом деле случайной и характеризуется низким уровнем энтропии криптографических ключей, которые генерирует. Энтропия характеризует степень случайности системы: чем выше энтропия, тем сложнее взломать ключ с помощью брутфорс-атаки.

Согласно заявлению британского эксперта по Unix Дэвида Джерарда, функция генерирует криптографические ключи с энтропией менее 48 бит независимо от уровня энтропии исходного ключа. Далее функция JavaScript прогоняет буквенно-цифровой ключ через устаревший алгоритм RC4, считающийся предсказуемым. Данная предсказуемость и делает приватный ключ уязвимым для брутфорс-атак.

Джерард отметил, что информация об этой уязвимости не является новостью и что дискуссии по ее поводу ведутся на форуме Bitcointalk с 2013 г. В те времена некоторые онлайн-кошельки использовали для генерации ключей функцию SecureRandom.

По словам Джерарда, многие биткоин-адреса, сгенерированные с использованием сервиса BitAddress до 2013 г. или Bitcoinjs до 2014 г., скорее всего содержат эту уязвимость. Он также намекнул, что и современное программное обеспечение для создания биткоин-кошельков также может содержать указанную уязвимость, если при его написании использовались старые архивы с GitHub.

Владельцам биткоин-кошельков с такими адресами рекомендуется создать новые кошельки с помощью современных инструментов и перевести на них свои средства.

Читайте также наш материал о том, какие действия приводят к потере криптовалюты!

 

Источник

Оставайтесь в курсе и следите за развитием событий на сайте blockchain.ru! Присоединяйтесь к обсуждениям самых интересных тем в нашем сообществе Facebook. А для того, чтобы оперативно узнавать о горячих новостях, подписывайтесь на наш телеграм-канал

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera