Популярный производитель криптокошельков WalletGenerator.net использовал код с серьезной уязвимостью, что могло негативно отразиться на его пользователях.
Исследователь из MyCrypto.com Гарри Денли (Harry Denley) обнаружил, что уязвимость генератора кошелька привела к появлению одинаковых публичных и приватных ключей для разных людей.
Вредоносный код генерировал одинаковые ключи с 17 августа 2018 года. Несмотря на то, что на момент проверки Денли не обнаружил вредоносной составляющей в существующем коде, он полагает, что когда-то код был заменен на безопасную версию.
Чтобы проверить и подтвердить уязвимость, исследователь протестировал открытые исходники, которые были представлены на Github в заархивированном виде.
«Пытаясь протестировать систему под другим углом, мы использовали генератор «Bulk Wallet» и сгенерировали 1000 ключей. Как и ожидалось, в безопасной версии на GitHub мы получили 1000 уникальных ключей», – написал Денли на Medium 24 мая.
Объясняя важность процесса генерации ключей, Денли отметил:
«ELI5: при генерации ключа вы берете супер-рандомное число, превращаете его в приватный ключ, потом его же превращаете в публичный ключ адрес. Однако, если “супер-рандомное” число всегда равно “5”, то сгенерированный приватный ключ всегда будет одинаковым. Вот почему так важно, чтобы супер-рандомное число на самом деле было рандомным… а не равнялось 5».
MyCrypto обратился к разработчикам WalletGenerator.net и сообщил о проблеме, выявленной во время тестирования. Несмотря на то, что разработчики явно исправили код, по словам Денли, он получил ответ, что его данные не могут быть подтверждены.
Виктор блоггер, философ, творческая личность. Его страсть к словам и чудесам цифрового мира – вот что побуждает его писать для вас.