Site iconSite icon CryptoPuls

Попередження про криптографічні недоліки гаманців

ГаманціГаманці

Команда Unciphered LLC опублікувала застереження в X (Twitter) про вразливість криптовалютних гаманців, згенерованих веб-браузером в період з 2011 по 2015 роки.

Компанія з кібербезпеки Unciphered провела роботу під назвою Randstorm (http://www.randstorm.com) і виявила помилку в програмному забезпеченні, що піддає ризику з боку хакерів криптовалюту в гаманцях користувачів на 2,1 мільярда доларів. Оцінюючи масштаби ризиків для криптокористувачів, команда Unciphered вирішила оприлюднити інформацію про небезпеку. Unciphered також сподівається, що криптокористувачі переведуть свою криптовалюту в нові, більш захищені гаманці, перш ніж їх пограбують.

«На Blockchain насувається шторм. Шторм досить великий, щоб мати власну назву. Randstorm. З причин, які стануть зрозумілими незабаром, першим користувачам криптовалют може знадобитися шукати притулку. Якщо ви брали участь у багатьох ранніх блокчейн-платформах (особливо в період з 2011 по 2015 роки), це може вплинути на вас», – попереджає у своєму блозі про вразливість раніх гаманців компанія Unciphered LLC, яка допомагає розблокувати гаманці та відновити криптовалюту її власникам.

В інтерв’ю Unciphered для Washington Post, яке лягло в основу статті, що 14 листопада з’явилась на шпальтах видання, викладені причини вразливості гаманців.

«Кожна створена людиною технологія містить недоліки, які походять від її творців», — сказав співзасновник Unciphered Ерік Мішо.

«Ризик поганого коду з відкритим вихідним кодом був оголений у 2021 році, коли було виявлено, що Log4j, повсюдний інструмент, який використовується постачальниками програмного забезпечення, про який мало хто навіть здогадувався, може використовуватися для виконання шкідливого коду. Це відкриття викликало паніку у компаній у всьому світі та зробило безпеку з відкритим кодом головним пріоритетом для Агентства з кібербезпеки та безпеки інфраструктури Міністерства внутрішньої безпеки США, яке зараз змушує компанії розробити всі програми, від яких вони залежать», – йдеться в статті Washington Post.

Недолік «Randstorm», як заявляє Unciphered, походить від програм-гаманців, які створювали криптографічні ключі не підбором із трильона варіантів, які сторонній людині важко підібрати, а використовували лише один фактор випадкового підбору з тисячі, що легко зламати.

Історія палкого прихильника криптовалюти Ніка Саллівана, який використав в 2014 році сайт Blockchain.info (в подальшому відомий як Blockchain.com) для створення гаманця, допомогла команді Unciphered виявити цю проблему. Код Томаса, відомий як BitcoinJS, який мав створювати гаманці з випадковими ключами, не завжди робив їх достатньо випадковими.

Проблема коду Томаса ускладнилась тим, що BitcoinJS використовувався не лише Blockchain.info, але й багатьма іншими сайтами з 2011 року. Гаманці Dogecoin (DOGE) в основному створювались на Dogechain.info, власником якого є Block.io.

«BitcoinJS жахливо зламався до березня 2014 року», — сказав Мішо. «Будь-хто, хто безпосередньо використовує його, має дуже високий рівень ризику для атаки». Проте жоден гаманець, створений після 2016 року, не має вразливості через слабку випадковість, в усякому разі, спеціалісти Unciphered її не знайшли.

Як стверджує Unciphered, не тільки Bitcoin-гаманці, а й гаманці Dogecoin (DOGE), Litecoin (LTC) і Zcash (ZEC) також потенційно можуть містити вразливість.

Unciphered разом з партнерами, які були задіяні в проекті виявлення проблеми вразливості гаманців, тримали інформацію в таємниці 20 місяців, щоб цим не могли скористатись зловмисники.

Проте виявлення вразливості було лише половиною завдання. Ще більш важким кроком було повідомити мільйони людей про вразливість їх гаманців, не спричинивши паніки через маштаб небезпеки, та не підірвати віру в криптовалюту, адже люди вважають безпеку головним пріоритетом при збережені віртуальних активів.

 

Exit mobile version