Онлайн-конструктор бумажного криптовалютного кошелька WalletGenerator.net ранее использовал код, который мог предоставить пары закрытого ключа/открытого ключа нескольким пользователям. Данная критическая уязвимость была подробно описана в официальном блоге, в посте Гарри Денли из MyCrypto, посвященном исследовательской безопасности 24 мая.
Согласно сообщению, плохой код появился в августе 2018 года и был исправлен только недавно, 23 мая 2019 года. Предполагается, что действующий код на веб-сайте должен иметь открытый исходный код и проверяться на GitHub, но видимо это не было сделано. Изучив исходный код, Денли пришел к выводу, что ключи были сгенерированы детерминистически в реальной версии сайта, а не случайным образом.
В одном из тестов MyCrypto, проведенном с 18 по 23 мая, они попытались использовать массовый генератор веб-сайта для создания 1000 ключей. Версия на GitHub вернула 1000 уникальных ключей, но живой код вернул 120 ключей. Запуск массового генератора всегда, по сообщениям, возвращал 120 уникальных ключей вместо 1000, даже когда были изменены другие факторы, включая обновления браузера, изменения VPN или изменения пользователя.
Генерируемая случайность необходима для генерации пар ключей для обеспечения безопасности бумажных кошельков.
«При генерации ключа вы берете супер-случайное число, превращаете его в закрытый ключ и превращаете его в открытый ключ/адрес. Однако, если «супер-случайное» число всегда равно «5», сгенерированный закрытый ключ всегда будет одинаковым. Вот почему так важно, чтобы супер-случайное число было на самом деле случайным, а не 5», — говорится в посте Гарри Денли.
WalletGenerator исправил проблему детерминизма после того, как MyCrypto обратился к команде в середине своего исследования. После этого WalletGenerator ответил, что обвинения не могут быть проверены, и даже спросил корреспондента, был ли MyCrypto «фишинговым сайтом».
MyCrypto добавил, что пользователи, которые сгенерировали пары ключей после 17 августа 2018 года, должны немедленно перевести свои средства на другой кошелек и рекомендовали не использовать пока WalletGenerator.net.
Напомним, ранее мы писали, что Kraken предлагает вознаграждение $100 000 за информацию, которая поможет получить доступ к потерянным кошелькам QuadrigaCX.
