Ostatnie odkrycia firmy zajmującej się cyberbezpieczeństwem, Unciphered, ujawniły dziesięcioletnią podatność portfela, która potencjalnie zagraża olbrzymiej sumie 2,1 miliarda dolarów kryptowalut. Ta podatność dotyczy portfeli opartych na przeglądarce utworzonych między 2011 a 2015 rokiem i obejmuje wiele sieci, w tym Bitcoina (BTC), Dogecoina (DOGE), Litecoina (LTC) i Zcash (ZEC).
Odkrywanie podatności portfela kryptowalutowego
Unciphered natknęło się na tę podatność portfela podczas próby odzyskania 600 000 dolarów w Bitcoinie (BTC) dla wczesnego inwestora, Nicka Sullivana, który stracił dostęp do swojego portfela. Sullivan początkowo utworzył swój portfel Bitcoina w 2014 roku za pomocą Blockchain.info (obecnie Blockchain.com) i później utracił dostęp do swoich monet po przypadkowym wyczyszczeniu pamięci komputera bez zapisania klucza prywatnego swojego portfela.
Podczas swojego śledztwa Unciphered odkryło, że kod używany przez Blockchain.info do generowania losowych kluczy portfela, znanego jako BitcoinJS, nie sprawiał, że wszystkie jego portfele były wystarczająco losowe, pozostawiając je podatnymi na ataki. Ta podatność dotyczy także Dogecoin.info, które używało tego samego BitcoinJS, narażając tym samym wielu starych użytkowników Dogecoina na to samo ryzyko.
Zakres podatności portfela
Zgodnie z informacjami od Unciphered, portfele utworzone przed marcem 2012 roku zawierają około 100 milionów dolarów aktywów, które mogą być łatwo zhakowane przez użytkownika komputera domowego. Ponadto kolejne 50 miliardów dolarów znajduje się w portfelach utworzonych między tamtym czasem a 2015 rokiem, z co najmniej 500 milionami dolarów podatnymi na ataki.
Mimo że kryptografowie zidentyfikowali wady w losowości generowania portfela już w 2014 roku i od tego czasu ulepszyli swoje metody, Unciphered nie znalazło żadnych portfeli wygenerowanych po 2016 roku cierpiących z powodu słabej losowości.
Ostrzeganie poszkodowanych
Unciphered podjęło krok publicznego ujawnienia tej podatności, ale nie przed poinformowaniem dotkniętych użytkowników przez wiele miesięcy o ryzyku dla ich aktywów. Wyzwaniem było przekonanie milionów poszkodowanych do przeniesienia swoich środków, nie dając potencjalnym złodziejom wskazówek co do podatności.
Blockchain.com, największa strona odpowiedzialna za generowanie takich portfeli, została skontaktowana przez Unciphered, aby dyskretnie poinformować dotkniętych użytkowników. Blockchain.com wysłało e-maile do ponad 1,1 miliona posiadaczy dotkniętych portfeli i znalazło sposób na automatyczne zaktualizowanie portfeli każdego, kto odwiedził ich stronę.
Jednak wielu poszkodowanych użytkowników nie zostało bezpośrednio ostrzeżonych, ponieważ strony, których używali do utworzenia swoich portfeli, nie są już operacyjne.
Dla tych, którzy martwią się o bezpieczeństwo swojego portfela, platformy takie jak cryptoview.io oferują kompleksowy widok portfela kryptowalutowego, pozwalając monitorować swoje aktywa i być na bieżąco z potencjalnymi podatnościami.
Bądź czujny i chron swoje aktywa
