Недавние откровения кибербезопасностного фирмы Unciphered привели к раскрытию уязвимости кошелька десятилетней давности, которая потенциально может поставить под угрозу криптовалюты на сумму 2,1 миллиарда долларов. Эта уязвимость затрагивает браузерные кошельки, созданные между 2011 и 2015 годами, и распространяется на несколько сетей, включая Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) и Zcash (ZEC).
Обнаружение уязвимости криптовалютного кошелька
Компания Unciphered наткнулась на эту уязвимость кошелька, пытаясь восстановить 600 000 долларов в Bitcoin (BTC) для раннего инвестора Ника Салливана, который потерял доступ к своему кошельку. Салливан изначально создал свой кошелек Bitcoin в 2014 году с использованием Blockchain.info (теперь Blockchain.com) и позже потерял доступ к своим монетам, случайно стирая память своего компьютера без сохранения приватного ключа своего кошелька.
В ходе своего расследования Unciphered обнаружила, что код, используемый Blockchain.info для создания случайных кошельковых ключей, известный как BitcoinJS, не делал все свои кошельки достаточно случайными, оставляя их уязвимыми к атакам. Эта уязвимость также распространяется на Dogecoin.info, которая использовала тот же BitcoinJS, тем самым подвергая риску многих старых пользователей Dogecoin.
Масштаб уязвимости кошелька
По данным Unciphered, кошельки, созданные до марта 2012 года, содержат примерно 100 миллионов долларов активов, которые могут быть легко взломаны обычным домашним компьютером. Более того, еще 50 миллиардов долларов хранятся в кошельках, созданных между тем временем и 2015 годом, при этом по меньшей мере 500 миллионов долларов уязвимы к атакам.
Хотя криптографы выявили недостатки в случайной генерации кошельков еще в 2014 году и с тех пор улучшили свои методы, Unciphered не обнаружила никаких кошельков, созданных после 2016 года, страдающих от слабой случайности.
Оповещение пострадавших
Unciphered предприняла шаг публичного раскрытия этой уязвимости, но не до того, как тихо оповестила пострадавших пользователей в течение нескольких месяцев о риске для их активов. Однако задачей было убедить миллионы пострадавших переместить свои средства, не предупреждая потенциальных воров об уязвимости.
Компания Blockchain.com, крупнейший сайт, ответственный за генерацию таких кошельков, был обращен Unciphered с просьбой тихо уведомить пострадавших пользователей. Blockchain.com отправила электронные письма более чем 1,1 миллиону владельцев пострадавших кошельков и нашла способ автоматически обновлять кошельки любого, кто посетил ее сайт.
Однако многих пострадавших пользователей не предупредили напрямую, поскольку сайты, которые они использовали для создания своих кошельков, больше не функционируют.
Для тех, кто беспокоится о безопасности своего кошелька, платформы, такие как cryptoview.io, предлагают полный обзор вашего криптовалютного портфеля, позволяя вам контролировать свои активы и быть в курсе потенциальных уязвимостей.
Оставайтесь бдительными и защищайте свои активы
