Рынки
Поделиться этой статьей

Исследователь обнаружил серьезную уязвимость на сайте бумажного Криптo

Если у вас есть Криптовалюта в бумажном кошельке от WalletGenerator.net, вам лучше всего воспользоваться им.

Автор John Biggs
Обновлено 13 сент. 2021 г., 9:14 a.m. Опубликовано 27 мая 2019 г., 5:00 p.m. Переведено ИИ
Code

Исследователь безопасности из MyCrypto.com,Гарри Денлиопубликовал подробный и разоблачительный анализ сайта бумажных кошельков WalletGenerator.net.

В CORE анализа лежит оригинальный открытый исходный код WalletGenerator, доступно здесь. До 17 августа 2018 года онлайн-код соответствовал открытому исходному коду, и весь проект генерировал кошельки с использованием клиентской техники, которая принимала реальную случайную энтропию и создавала уникальный кошелек. Но где-то после этой даты два набора кода перестали соответствовать.

Продолжение Читайте Ниже
Не пропустите другую историю.Подпишитесь на рассылку Crypto Daybook Americas сегодня. Просмотреть все рассылки
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and политика конфиденциальности.

Результат? Очень реальная возможность того, чтоWalletGeneratorдает те же ключи нескольким пользователям. Чтобы проверить это,Исследователь MyCryptoзапустил генератор в массовом порядке и получил какие-то странные результаты.

«Подойдя с другой стороны, мы затем использовали генератор «Bulk Wallet» для генерации 1000 ключей. В не вредоносной версии GitHub нам дается 1000 уникальных ключей, как и ожидалось.

Однако, используя WalletGenerator.net в разное время между 18 мая 2019 г. и 23 мая 2019 г., мы получали только 120 уникальных ключей за сеанс. Обновление браузера, смена местоположений VPN или выполнение того же теста другой стороной приводили к генерации другого набора из 120 ключей».

Хотя по состоянию на прошлую пятницу (24 мая) странное поведение не было обнаружено, оно может повториться в любой момент.

«Мы по-прежнему считаем это крайне подозрительным и по-прежнему рекомендуем пользователям, которые сгенерировали пары публичных/приватных ключей после 17 августа 2018 года, перевести свои средства», — говорит исследователь. «Мы не рекомендуем использовать WalletGenerator.net в дальнейшем, даже если код на данный момент не уязвим».

Вы можете прочитать всюсообщите здесь, но Денли рекомендует выводить средства из бумажных кошельков на базе WalletGenerator. Поскольку нет четкого способа связаться с «двумя случайными парнями [sic], развлекающимися с сторонним проектом», которые, по-видимому, управляют сайтом, мы можем смело рекомендовать вам вообще избегать этого сайта.

Изображение кода через Shutterstock

SecurityPaper WalletsWalletsNewsPaperHacks