Серьезная уязвимость на сайте бумажных крипто-кошельков

Гарри Денли, исследователь безопасности из MyCrypto.com, опубликовал подробный анализ сайта WalletGenerator.net, который служит для создания бумажных крипто-кошельков.

Ядро анализа зависит от оригинального исходного кода WalletGenerator, доступного здесь.

До 17 августа 2018 года онлайн код соответствовал открытому исходному коду, и весь проект генерировал кошельки, используя технику на стороне клиента, которая учитывала реальную случайную энтропию и создавала уникальный кошелек. Но когда-то после этой даты два набора кода перестали совпадать.

Результат? Очень реальная возможность, что WalletGenerator предоставляет одни и те же ключи нескольким пользователям. Чтобы проверить это, исследователь MyCrypto массово запустил генератор и получил несколько странных результатов.

Мы использовали генератор «Bulk Wallet» для генерации 1’000 ключей. В не вредоносной версии GitHub нам дается 1’000 уникальных ключей, как и ожидалось.

Однако, используя WalletGenerator.net в разное время с 18 мая 2019 года по 23 мая 2019 года, мы получим только 120 уникальных ключей за сеанс.

Обновление нашего браузера, переключение VPN-местоположений или выполнение другой стороной одного и того же теста приведет к созданию другого набора из 120 ключей

Хотя странное поведение не было обнаружено по состоянию на прошлую пятницу (24 мая), оно может быть возвращено в любое время.

Исследователи уточняют: «Мы по-прежнему считаем, что это весьма подозрительно и по-прежнему рекомендуем пользователям, создавшим открытые / закрытые пары ключей после 17 августа 2018 года, переместить свои средства», – говорит исследователь. «Мы не рекомендуем использовать WalletGenerator.net, даже если код на данный момент не уязвим».

Вы можете прочитать весь отчет здесь, но Denley рекомендует вывести средства из бумажных кошельков, созданных с помощью WalletGenerator.

Поскольку нет четкого способа связаться с «двумя случайными парнями, которые веселятся с сайд-проектом», которые, очевидно, управляют сайтом, мы можем смело рекомендовать вам вообще избегать этого сайта.

Подписывайтесь на наш Telegram канал

Источник: AltStake

Читайте также

Вверх