Nylige avsløringer av et cybersikkerhetsfirma, Unciphered, har brakt til syne en ti år gammel lommeboksårbarhet som potensielt kan sette $2,1 milliarder verdt av kryptovaluta i fare. Denne sårbarheten påvirker nettleserbaserte lommebøker opprettet mellom 2011 og 2015 og omfatter flere nettverk, inkludert Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) og Zcash (ZEC).
Avdekking av sårbarheten i kryptovalutalommeboken
Unciphered snublet over denne lommeboksårbarheten mens de prøvde å gjenopprette $600 000 i Bitcoin (BTC) for en tidlig investor, Nick Sullivan, som hadde mistet tilgangen til lommeboken sin. Sullivan hadde opprinnelig opprettet lommeboken sin i Bitcoin i 2014 ved å bruke Blockchain.info (nå Blockchain.com) og senere mistet tilgangen til myntene sine etter å ha utilsiktet slettet datamaskinens minne uten å lagre lommebokens private nøkkel.
Under etterforskningen oppdaget Unciphered at koden som ble brukt av Blockchain.info for å opprette tilfeldige lommeboksnøkler, kjent som BitcoinJS, ikke gjorde alle lommebøkene tilstrekkelig tilfeldige, noe som etterlot dem sårbare for angrep. Denne sårbarheten gjelder også for Dogecoin.info, som brukte den samme BitcoinJS, og eksponerte dermed mange gamle Dogecoin-brukere for den samme risikoen.
Omfanget av sårbarheten i lommeboken
Ifølge Unciphered inneholder lommebøker som ble opprettet før mars 2012, omtrent $100 millioner i eiendeler som enkelt kan hackes av en hjemmebruker. Videre er det $50 milliarder i lommebøker som ble opprettet mellom den gangen og 2015, hvor minst $500 millioner er sårbare for angrep.
Selv om kryptografer identifiserte feil i tilfeldigheten til lommebokgenerering allerede i 2014 og siden har forbedret metodene sine, fant ikke Unciphered noen lommebøker som ble generert etter 2016 som led av svak tilfeldighet.
Varsling av ofrene
Unciphered tok skrittet med å offentliggjøre denne sårbarheten, men ikke før de stille hadde varslet berørte brukere i månedsvis om risikoen for eiendelene deres. Utfordringen var å overbevise millioner av ofre om å flytte pengene sine uten å tipse potensielle tyver om sårbarheten.
Blockchain.com, den største nettstedet ansvarlig for å generere slike lommebøker, ble kontaktet av Unciphered for å stille varsle berørte brukere. Blockchain.com sendte ut e-poster til over 1,1 millioner berørte lommebokinnehavere og fant en måte å automatisk oppdatere lommebøkene til alle som besøkte nettstedet deres.
Imidlertid har mange berørte brukere ikke blitt direkte advart ettersom nettstedene de brukte til å opprette lommebøkene sine, ikke lenger er operative.
For de som er bekymret for lommebokens sikkerhet, tilbyr plattformer som cryptoview.io en omfattende oversikt over kryptovalutaporteføljen din, slik at du kan overvåke eiendelene dine og holde deg informert om potensielle sårbarheter.
Vær årvåken og beskytt eiendelene dine
