Делитесь и голосуйте:
Злоумышленник, имеющий доступ к серверной части сайта, модифицировал программный код, чтобы получить доступ к закрытым ключам пользователей.
В популярном сервисе для создания «бумажных кошельков» BitcoinPaperWallet обнаружен бэкдор, который позволяет злоумышленникам красть активы пользователей. По данным Coindesk, с 2018 года уязвимость позволила преступнику присвоить по крайней мере 124,85 BTC, которые по текущему курсу оцениваются в $6,391 млн.
- Бумажный кошелек — это один из способов хранения криптовалюты в автономном режиме. Специальный сервис случайным образом генерирует открытый и закрытый ключи, после чего зашифровывает их в QR-код. Последний можно сохранить в PDF-файле или, при желании, распечатать.
- Один из пользователей BitcoinPaperWallet рассказал Coindesk, что 7 января 2021 года он создал бумажный кошелек и перевел в него 14,5 BTC, которые на тот момент стоили порядка $500 тыс. Через несколько минут баланс кошелька был опустошен. Некто вывел всю криптовалюты и, использовав разветвленную цепочку транзакций, отправил ее на биржу Binance.
- Поиск в Google показывает, что со схожей проблемой столкнулись еще как минимум шесть пользователей. По данным Coindesk, злоумышленник выводил активы только с кошельков, на которых хранился хотя бы один bitcoin. С середины 2018 года он похитил не менее 124,85 BTC.
- Как оказалось, BitcoinPaperWallet отправляет копии закрытых ключей пользователей на свои сервера. Следовательно, тот, кто имеет доступ к серверной части сайта, может завладеть этими ключами и вывести активы.
- Более того, BitcoinPaperWallet не использует случайную генерацию чисел. Чтобы создать закрытый ключ, пользователю нужно было хаотично двигать мышкой — таким образом якобы формировалась случайная комбинация цифр, которая затем перемножалась на тестовый ключ. Однако на самом деле сервис игнорировал случайную комбинацию пользователя, а за закрытый выдавал тестовый ключ.
- Примечательно, что в коде BitcoinPaperWallet, который в открытом доступе опубликован на GitHub, данной уязвимости нет. Это значит, что кто-то умышленно модифицировал программный код, чтобы иметь возможность красть ключи пользователей сервиса.
