Сервис генерации доступных для распечатывания приватных и публичных ключей для хранения криптовалют WalletGenerator имел критическую уязвимость, угрожающую пользователям, которые создали кошельки с его помощью после 17 августа 2018 года. Об этом пишет портал Decrypt со ссылкой на наблюдения аналитиков MyCrypto.
По их словам, возможность создания «рандомизированных» пар ключей с помощью сервиса, имеющая ключевое значение для криптографической защиты активов пользователей, оказалась фикцией. Для генерации ключей WalletGenerator использовал изображения, которые сам и создавал. Следовательно, злоумышленник, имеющий доступ к данным этих изображений, с лёгкостью сможет воспроизвести приватные и публичные ключи, принадлежащие пользователям.
Директор по безопасности MyCrypto Гарри Денли назвал обнаруженный баг «исключительным», так как долгое время он оставался незамеченным. «Обычно вредоносные генераторы ключей отправляют секретную информацию пользователя обратно на свой сервер, – заявил он, добавив, что использовавшийся WalletGenerator позволял сервису не оставлять таких следов. – Учитывая столь неожиданный поворот событий, мы до сих пор не знаем, является ли злоумышленником владелец сайта, либо небезопасен сам сервер, либо верны оба варианта».
После того как Денли связался с владельцами сайта, 22 мая уязвимость загадочным образом была устранена. Изначально она появилась в результате «изменения кода», произошедшего в прошлом августе.
Денли рекомендует пользователям WalletGenerator немедленно перевести средства с бумажных кошельков на новые безопасные адреса. Сервис WalletGenerator достаточно востребован среди пользователей – согласно SimilarWeb, его месячная пользовательская база составляет около 140 000 человек.
