Исследователь из сервиса хранения MyCrypto Гарри Денли обнаружил серьезную ошибку в открытом коде онлайн-генератора бумажных криптовалютных кошельков WalletGenerator, которая приводила к выдаче одинаковых закрытых и открытых ключей различным пользователям.
Согласно отчету, сбой произошел после обновления 17 августа 2018 года, когда в определенным момент времени фактически действующий код на веб-сайте перестал совпадать с опубликованным на GitHub. Изучив различия, Гарри Денли обнаружил, что реальная версия сервиса генерирует ключи детерминистическим, а не случайным образом.
В ходе тестов исследователь создал 1000 ключей, используя обе версии кода. Адреса, сгенерированные с помощью варианта из GitHub были на 100% уникальными, но для действующей версии на WalletGenerator этот показатель составил всего 12%. При этом после обновления браузера, активации VPN и смены пользователя, также били получены новые наборы из 120 ключей.
После того как представитель MyCrypto обратился в WalletGenerator, разработчики проекта исправили ошибку. Тем не менее Гарри Денли рекомендует пользователям, которые использовали генератор с середины августа, переместить свои активы на другие адреса. Он также не исключает появление новых или возвращение этой же проблемы в дальнейшем из-за невнимательного отношения разработчиков к своему сайд-проекту.
Согласно исследованию SRLabs, треть узлов эфириума используют уязвимое клиентское программное обеспечение, чем подвергают опасности взлома всю сеть криптовалюты.
текст: Иван Маличенко, фото: tc logiciel libre