Уязвимость криптокошелька позволяла выдавать идентичные ключи нескольким пользователям

28 мая

В ответ на указание на уязвимость создатель WalletGenerator.net заявил, что обвинения бездоказательны, и заподозрил исследователей в фишинге.

Исследователь безопасности Гарри Денли из MyCrypto 24 мая опубликовал официальное сообщение в своем блоге, в котором описал уязвимость кода, ранее использовавшегося в бумажном криптовалютном онлайн-кошельке WalletGenerator.net. Как сообщается, создатель программы случайно оставил в коде возможность выдавать одинаковые пары приватного/открытого ключа нескольким пользователям.

Согласно сообщению, код, содержащий уязвимость, вступил в силу в августе 2018 года и был исправлен только недавно. Предполагается, что действующий код на веб-сайте должен иметь открытый исходный код и проверяться на GitHub, но Денли обнаружил отличия между опубликованным и живым кодом. Изучив последний, исследователь пришел к выводу, что ключи были сгенерированы в реальной версии сайта детерминистически, а не случайно.

С 18 по 23 мая в MyCrypto попытались протестировать код, используя массовый генератор ключей на веб-сайте для создания тысячи ключей. Версия GitHub вернула 1000 уникальных ключей, но живой код сгенерировал лишь 120 ключей. И запуск массового генератора всегда возвращал 120 уникальных ключей вместо 1000, даже когда были подправлены другие факторы, включая обновления браузера, изменения VPN или изменения пользователя.

Случайность генерации и уникальность ключей – совершенно необходимый фактор для обеспечения безопасности бумажных кошельков. Как отмечает Гарри Денли:

«ELI5: при генерации ключа вы берете супер-случайное число, превращаете его в закрытый ключ и превращаете его в открытый ключ/адрес. Однако, если «супер-случайное» число всегда равно «5», сгенерированный закрытый ключ всегда будет одинаковым. Вот почему так важно, чтобы супер-случайное число на самом деле было случайным, а не «5».

WalletGenerator исправил проблему детерминизма только после того, как MyCrypto обратился к ним в середине своего исследования. При этом на сообщение об уязвимости WalletGenerator ответил, что обвинения недоказуемы и даже спросил корреспондента, не является ли MyCrypto «фишинговым сайтом».

Увы, но проблема уникальности и защищенности ключей остается ахиллесовой пятой криптовалютной отрасли. Ранее исследователи обнаружили неизвестного «блокчейн-бандита», который сумел воспользоваться слабостью приватных ключей и похитить около 45 000 ETH, используя комбинацию методов поиска неисправного кода и генератор случайных чисел.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2019 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera