Гарри Денли, исследователь безопасности из MyCrypto.com, опубликовал подробный анализ сайта WalletGenerator.net, который служит для создания бумажных крипто-кошельков.
Ядро анализа зависит от оригинального исходного кода WalletGenerator, доступного здесь.
До 17 августа 2018 года онлайн код соответствовал открытому исходному коду, и весь проект генерировал кошельки, используя технику на стороне клиента, которая учитывала реальную случайную энтропию и создавала уникальный кошелек. Но когда-то после этой даты два набора кода перестали совпадать.
Результат? Очень реальная возможность, что WalletGenerator предоставляет одни и те же ключи нескольким пользователям. Чтобы проверить это, исследователь MyCrypto массово запустил генератор и получил несколько странных результатов.
Мы использовали генератор «Bulk Wallet» для генерации 1’000 ключей. В не вредоносной версии GitHub нам дается 1’000 уникальных ключей, как и ожидалось.
Однако, используя WalletGenerator.net в разное время с 18 мая 2019 года по 23 мая 2019 года, мы получим только 120 уникальных ключей за сеанс.
Обновление нашего браузера, переключение VPN-местоположений или выполнение другой стороной одного и того же теста приведет к созданию другого набора из 120 ключей
Хотя странное поведение не было обнаружено по состоянию на прошлую пятницу (24 мая), оно может быть возвращено в любое время.
Исследователи уточняют: «Мы по-прежнему считаем, что это весьма подозрительно и по-прежнему рекомендуем пользователям, создавшим открытые / закрытые пары ключей после 17 августа 2018 года, переместить свои средства», — говорит исследователь. «Мы не рекомендуем использовать WalletGenerator.net, даже если код на данный момент не уязвим».
Вы можете прочитать весь отчет здесь, но Denley рекомендует вывести средства из бумажных кошельков, созданных с помощью WalletGenerator.
Поскольку нет четкого способа связаться с «двумя случайными парнями, которые веселятся с сайд-проектом», которые, очевидно, управляют сайтом, мы можем смело рекомендовать вам вообще избегать этого сайта.
Подписывайтесь на наш Telegram канал
Источник: AltStake