Обнаружена критическая уязвимость сервиса бумажных крипто-кошельков WalletGenerator

Сервис генерации доступных для распечатывания приватных и публичных ключей для хранения криптовалют WalletGenerator имел критическую уязвимость, угрожающую пользователям, которые создали кошельки с его помощью после 17 августа 2018 года. Об этом пишет портал Decrypt со ссылкой на наблюдения аналитиков MyCrypto.

По их словам, возможность создания «рандомизированных» пар ключей с помощью сервиса, имеющая ключевое значение для криптографической защиты активов пользователей, оказалась фикцией. Для генерации ключей WalletGenerator использовал изображения, которые сам и создавал. Следовательно, злоумышленник, имеющий доступ к данным этих изображений, с лёгкостью сможет воспроизвести приватные и публичные ключи, принадлежащие пользователям.

1_VY9rK6iJe2NIsFWeXBCSZA.png

Директор по безопасности MyCrypto Гарри Денли назвал обнаруженный баг «исключительным», так как долгое время он оставался незамеченным. «Обычно вредоносные генераторы ключей отправляют секретную информацию пользователя обратно на свой сервер, – заявил он, добавив, что использовавшийся WalletGenerator позволял сервису не оставлять таких следов. – Учитывая столь неожиданный поворот событий, мы до сих пор не знаем, является ли злоумышленником владелец сайта, либо небезопасен сам сервер, либо верны оба варианта».

После того как Денли связался с владельцами сайта, 22 мая уязвимость загадочным образом была устранена. Изначально она появилась в результате «изменения кода», произошедшего в прошлом августе.

Денли рекомендует пользователям WalletGenerator немедленно перевести средства с бумажных кошельков на новые безопасные адреса. Сервис WalletGenerator достаточно востребован среди пользователей – согласно SimilarWeb, его месячная пользовательская база составляет около 140 000 человек.
Фото: Anton Gvozdikov
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.