Поділитися цією статтею
Google виправляє помилку Android, яка призвела до крадіжки Bitcoin
Google випустив пораду щодо недоліку Android, який призвів до крадіжки тисяч доларів у Bitcoin.
Автор David Gilson
Зробіть нас пріоритетним джерелом у Google
Google випустив поради для розробників щодо того, як боротися з нещодавно виявлений недолік в Android, що призвело до крадіжки тисяч доларів у Bitcoin із гаманців мобільних програм.
[Тоді] потенційний недолік вперше було повідомлено на Bitcoin форум, де повідомлялося, що понад 55 BTC було вкрадено у кількох користувачів Bitcoin адреса. Користувач форуму також повідомив, що (програмні) клієнти, які були вкрадені, підписували повідомлення про транзакції тим самим випадковим числом. Це, у свою чергу, змусило деяких повірити, що генератор псевдовипадкових чисел (PRNG) Android не був належним чином ініціалізований.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку Crypto Daybook Americas вже сьогодні. Переглянути всі розсилки
Коли повідомлення про транзакції підписуються, вони підписуються комбінацією особистого ключа та випадкового числа. Мета випадкового числа - приховати значення закритого ключа. Якщо одне і те ж випадкове число використовується більше одного разу, можна вивести закритий ключ.
Розробники Bitcoinвидав сповіщення про це протягом 24 годин після публікації на форумі. У якому він назвав деякі з постраждалих програм: Bitcoin гаманець, Гаманець Blockchain.info, BitcoinSpinner і Міцелієвий гаманець. Крім того, було підтверджено, що оновлення були підготовлені для названих програм. Дійсно, ми можемо незалежно перевірити, що принаймні додаток Blockchain.info було оновлено до моменту написання статті.
Далі розробники Bitcoin порадили користувачам якнайшвидше оновити свої програми, а тим часом перенести монети в альтернативний гаманець.
Нещодавно Google виступив із створенням a заяву у своєму блозі розробників Android. Він підтвердив, що програми, які використовують архітектуру криптографії Java (JCA), не отримували криптографічно надійні значення через неправильну ініціалізацію (тобто «початкове значення»). Також було підтверджено, що ця помилка не вплинула на PRNG підписів SSL і TLS Android.
На щастя, є те, що розробники можуть (і зробили) зараз, щоб впоратися з цією проблемою, оскільки основний PRNG JCA можна явно ініціалізувати початковим значенням, кращим за замовчування.
Крім того, команда розробників Android випустила виправлення для Open Handset Alliance (OHA), щоб OEM-виробники могли впровадити виправлення у свої дистрибутиви Android. Однак будь-яке оновлення Android має пройти OEM-тестування, а потім схвалення оператора. Таким чином, виправлення, ймовірно, займе багато часу, щоб потрапити до кінцевих користувачів.
Bitcoin експерт та спеціаліст з інформаційної безпекиВолодимир Марченко нагадав користувачам, що недоліки в програмному забезпеченні трапляються, і що вони повинні завжди пам’ятати про своєчасне застосування виправлень безпеки та оновлень програмного забезпечення. Він також говорив про силу команди Bitcoin :
«Цей інцидент також продемонстрував, наскільки професійно, швидко та ефективно Bitcoin спільнота відреагувала та вирішила проблему. Браво!»
Марченко продовжив наступне застереження: «Як загальне зауваження, можливо, було б нерозумно використовувати мобільні телефони для зберігати великі суми біткойнів. Проте мобільні пристрої надзвичайно зручні для повсякденного використання Bitcoin , тому має сенс зберігати невеликі суми, тоді як більші суми зберігаються деінде безпечніше.
«Подібно до того, як люди мають ощадні та поточні рахунки в банках, користувачам слід розділяти довгострокове зберігання більших сум біткойнів і більш зручне зберігання менших сум для повсякденного використання. Це зменшує кількість активів під загрозою і, отже, загальний ризик, забезпечуючи розумний рівень зручності».
More For You
Pudgy Penguins is building a multi-vertical consumer IP platform — combining phygital products, games, NFTs and PENGU to monetize culture at scale.
What to know:
Pudgy Penguins is emerging as one of the strongest NFT-native brands of this cycle, shifting from speculative “digital luxury goods” into a multi-vertical consumer IP platform. Its strategy is to acquire users through mainstream channels first; toys, retail partnerships and viral media, then onboard them into Web3 through games, NFTs and the PENGU token.
The ecosystem now spans phygital products (> $13M retail sales and >1M units sold), games and experiences (Pudgy Party surpassed 500k downloads in two weeks), and a widely distributed token (airdropped to 6M+ wallets). While the market is currently pricing Pudgy at a premium relative to traditional IP peers, sustained success depends on execution across retail expansion, gaming adoption and deeper token utility.
More For You
BNB зростає на 2,5%, наближаючись до позначки $900 на тлі зростання ринку прогнозів, що сигналізує про розширення корисності
На Nasdaq Stockholm запущено новий фізично забезпечений біржовий продукт BNB, що розширює наявні інвестиційні можливості.
What to know:
- Токен BNB піднявся на 2,5% до $89, наближаючись до рівня опору в $900, при цьому збільшений обсяг торгів свідчить про оновлений інтерес покупців.
- Новий фізично забезпечений біржовий продукт на основі BNB запущено на Nasdaq Stockholm, що додає до існуючих інвестиційних варіантів, таких як очікуване подання ETF від Grayscale.
- Мережа BNB Chain зазнала значного зростання у сфері ринків прогнозів, причому такі платформи, як Opinion Labs, зареєстрували обсяг торгів за 7 днів понад $700 мільйонів, а сумарні обсяги торгів перевищили $20 мільярдів.
Головне
