Share this article
Pesquisador descobre vulnerabilidade grave em site de carteira de Cripto em papel
Se você tiver Criptomoeda em uma carteira de papel da WalletGenerator.net, é melhor retirá-las.
By John Biggs
Updated Sep 13, 2021, 9:14 a.m. Published May 27, 2019, 5:00 p.m.
Torne-nos preferidos no Google
Um pesquisador de segurança do MyCrypto.com,Harry Denley, publicou uma análise detalhada – e contundente – do site de carteira de papel WalletGenerator.net.
O CORE da análise depende do código-fonte aberto original do WalletGenerator, disponível aqui. Até 17 de agosto de 2018, o código online correspondia ao código de código aberto e todo o projeto gerava carteiras usando uma técnica do lado do cliente que pegava entropia aleatória real e produzia uma carteira única. Mas algum tempo depois dessa data, os dois conjuntos de código pararam de corresponder.
A História Continua abaixo
Don't miss another story.Subscribe to the Crypto Daybook Americas Newsletter today. See all newsletters
O resultado? A possibilidade muito real de queGerador de carteiraestá dando as mesmas chaves para vários usuários. Para testar isso,Pesquisador do MyCryptoexecutei o gerador em massa e obtive alguns resultados estranhos.
"Abordando de um ângulo diferente, usamos o gerador “Bulk Wallet” para gerar 1.000 chaves. Na versão não maliciosa do GitHub, recebemos 1.000 chaves exclusivas, como esperado.
No entanto, usando o WalletGenerator.net em vários momentos entre 18 de maio de 2019 e 23 de maio de 2019, obteríamos apenas 120 chaves exclusivas por sessão. Atualizar nosso navegador, alternar os locais de VPN ou fazer com que outra parte realizasse o mesmo teste resultaria em um conjunto diferente de 120 chaves sendo geradas."
Embora o comportamento estranho não tenha sido encontrado até a última sexta-feira (24 de maio), ele pode retornar a qualquer momento.
"Ainda estamos considerando isso altamente suspeito e ainda recomendando que usuários que geraram pares de chaves públicas/privadas após 17 de agosto de 2018 movam seus fundos", diz o pesquisador. "Não recomendamos usar o WalletGenerator.net daqui para frente, mesmo que o código neste exato momento não esteja vulnerável."
Você pode ler o texto inteirorelatar aqui, mas Denley recomenda mover fundos de suas carteiras de papel baseadas no WalletGenerator. Como não há uma maneira clara de contatar os "dois caras aleatórios [sic] se divertindo com um projeto paralelo" que aparentemente administram o site, podemos recomendar com segurança que você evite o site completamente.
Imagem de código via Shutterstock
