Ошибка старого криптокошелька ставит под угрозу 2,1 миллиарда долларов: незашифрованный
Компания Unciphered, занимающаяся крипто-кибербезопасностью, обнаружила уязвимость крипто-кошелька десятилетней давности, затрагивающую браузерные кошельки, созданные в период с 2011 по 2015 год.
Эта уязвимость может позволить злоумышленникам украсть до 2,1 миллиарда долларов из кошельков в различных сетях, включая Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) и Zcash (ZEC).
Откройте для себя древнее насекомое
В интервью с Журнал “Уолл Стритобъяснили команде Unciphered, что они случайно обнаружили ошибку во время неудачной попытки вернуть 600 000 долларов раннего инвестора в потерянных биткойнах (BTC).
Основатель Ник Салливан создал свой биткойн-кошелек еще в 2014 году с помощью сайта Blockchain.info (с тех пор переименованного в Blockchain.com). Позже он случайно потерял доступ к своим монетам после того, как стер память своего компьютера, не забыв записать закрытый ключ своего кошелька.
По запросу Салливана компания Unciphered начала поиск монет Салливана в январе 2022 года. Хотя в конечном итоге им не хватило информации для их восстановления, в процессе они поняли, что код Blockchain.info для генерации случайных ключей кошелька — BitcoinJS — генерирует не все свои кошельки. достаточно случайно.
«BitcoinJS ужасно распался до марта 2014 года», — сказал соучредитель Unciphered Эрик Мишо. «Любой, кто использует его напрямую, подвергается высокому риску нападения».
Другой сайт-кошелек, Dogecoin.info, также использовал BitcoinJS, в результате чего многие старые пользователи Dogecoin подвергались той же уязвимости.
Unciphered утверждает, что кошельки, созданные до марта 2012 года, содержат активы на сумму 100 миллионов долларов, которые могут быть легко взломаны пользователем домашнего компьютера. Еще 50 миллиардов долларов хранятся в кошельках, созданных до 2015 года, из которых как минимум 500 миллионов долларов уязвимы.
Криптографы обнаружили недостатки в создании кошельков еще в 2014 году и с тех пор усовершенствовали свои методы. В Unciphered заявили, что не обнаружили ни одного кошелька, созданного после 2016 года и страдающего от слабой случайности.
Как сообщить жертвам?
Unciphered публично раскрыла уязвимость на этой неделе, но в течение нескольких месяцев тихо предупреждала затронутых пользователей, что их активы находятся под угрозой.
Задача заключалась в том, чтобы убедить миллионы жертв перевести свои деньги, не раскрывая свою уязвимость перед ворами, которые в противном случае воспользовались бы ими для кражи монет.
В конце концов компания Unciphered решила обратиться к крупнейшему веб-сайту, ответственному за создание таких кошельков, которые могут незаметно уведомлять затронутых пользователей. В итоге именно этот сайт использовал Салливан — Blockchain.com.
Сайт разослал электронные письма владельцам более 1,1 миллиона затронутых кошельков и нашел способ автоматически обновлять кошельки всех, кто посещал сайт.
«В криптовалюте нужно очень осторожно относиться к людям, звонящим с чем-то, что звучит драматично, потому что здесь очень много мошенников», — сказал президент Blockchain.com Лейн Кассельман о предупреждении Unciphered. «Было неясно, кем они были и каковы были масштабы произошедшего».
Многие затронутые пользователи до сих пор не были предупреждены напрямую, поскольку сайты, которые они использовали для создания своих кошельков, сейчас недоступны.
Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10 % на Binance Futures в первый месяц. (условия).
