Ошибка старого криптокошелька ставит под угрозу 2,1 миллиарда долларов: не зашифровано

Фирма Unciphered, занимающаяся кибербезопасностью в области криптовалют, обнаружила десятилетнюю ошибку в криптокошельках, затрагивающую браузерные кошельки, созданные в период с 2011 по 2015 год.

Эта ошибка может позволить злоумышленникам украсть до 2,1 миллиарда долларов из кошельков в различных сетях, включая Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) и Zcash (ZEC).

Обнаружение древней ошибки

В интервью Wall Street Journal команда Unciphered объяснила, что они случайно обнаружили ошибку во время неудачной попытки вернуть 600 000 долларов одного из первых инвесторов в потерянных биткойнах (BTC).

р>

Предприниматель Ник Салливан создал свой биткойн-кошелек еще в 2014 году с помощью сайта Blockchain.info (с тех пор переименованного в Blockchain.com). Позже он случайно потерял доступ к своим монетам после того, как очистил память своего компьютера, не забыв записать приватный ключ своего кошелька.

По запросу Салливана компания Unciphered начала поиск монет Салливана в январе 2022 года. Хотя в конечном итоге им не хватило информации, чтобы вернуть их, в процессе они поняли, что код Blockchain.info для создания случайных ключей кошелька — BitcoinJS — не смог сделать все своих кошельков достаточно случайно.

«До марта 2014 года BitcoinJS был ужасно развален», — сказал соучредитель Unciphered Эрик Мишо. «Любой, кто использует его напрямую, подвергается очень высокому риску нападения».

Другой сайт-кошелек, Dogecoin.info, также использовал BitcoinJS, в результате чего многие старые пользователи Dogecoin подвергались той же уязвимости.

Незашифрованные заявления о том, что кошельки, созданные до марта 2012 года, содержат активы на сумму 100 миллионов долларов, которые легко могут быть взломаны пользователем домашнего компьютера. Еще 50 миллиардов долларов хранятся в кошельках, созданных до 2015 года, из которых как минимум 500 миллионов долларов уязвимы.

Криптографы обнаружили недостатки в случайной генерации кошелька еще в 2014 году и с тех пор усовершенствовали свои методы. В Unciphered заявили, что не обнаружили ни одного кошелька, созданного после 2016 года и страдающего от слабой случайности.

Как сообщить об этом жертвам?

Unciphered сообщила об уязвимости на этой неделе, но уже несколько месяцев тихо предупреждает затронутых пользователей, что их активы находятся под угрозой.

Задача заключалась в том, чтобы убедить миллионы жертв перевести свои средства, не раскрывая уязвимости ворам, которые в противном случае использовали бы их для кражи монет.

В конечном итоге компания Unciphered решила обратиться к крупнейшему сайту, ответственному за создание таких кошельков, которые могли бы иметь возможность дискретно уведомлять затронутых пользователей. В итоге именно этот сайт использовал Салливан – Blockchain.com.

Сайт разослал электронные письма владельцам более 1,1 миллиона затронутых кошельков и нашел способ автоматически обновлять кошельки всех, кто посещал его сайт.

«В криптовалюте нужно довольно скептически относиться к людям, которые звонят с чем-то, что звучит драматично, потому что здесь очень много мошенников», — сказал президент Blockchain.com Лейн Кассельман по поводу предупреждения Unciphered. «Было неясно, кто они такие и каковы были масштабы этой деятельности».

Многие затронутые пользователи до сих пор не были предупреждены напрямую, поскольку сайты, которые они использовали для создания своих кошельков, больше не работают.

Пост «Ошибка в старом криптокошельке ставит под угрозу 2,1 миллиарда долларов: Unciphered» впервые появился на CryptoPotato.