最近,一家名为Unciphered的网络安全公司披露了一个十年前的钱包漏洞,可能会危及价值21亿美元的加密货币。这个漏洞影响了2011年至2015年间创建的基于浏览器的钱包,并跨越了多个网络,包括比特币(BTC)、狗狗币(DOGE)、莱特币(LTC)和Zcash(ZEC)。
揭示加密货币钱包漏洞
Unciphered在试图为早期投资者尼克·沙利文(Nick Sullivan)恢复60万美元比特币(BTC)时偶然发现了这个钱包漏洞。沙利文最初是在2014年使用Blockchain.info(现在的Blockchain.com)创建了他的比特币钱包,后来在不小心清除计算机内存且未保存钱包私钥的情况下失去了对他的硬币的访问权限。
在他们的调查中,Unciphered发现了Blockchain.info用于创建随机钱包密钥的代码,即BitcoinJS,并未使其所有钱包足够随机,使它们容易受到攻击。这个漏洞也延伸到了使用相同BitcoinJS的Dogecoin.info,从而使许多旧狗狗币用户面临相同的风险。
钱包漏洞的程度
据Unciphered称,2012年3月之前创建的钱包中大约有1亿美元的资产可能会被普通家用计算机轻松黑客攻击。此外,另有500亿美元资产存放在2015年之前创建的钱包中,其中至少有5亿美元容易受到攻击。
尽管密码学家在2014年就已经确定了钱包生成随机性的缺陷并自那以后改进了他们的方法,但Unciphered并未发现任何在2016年之后生成的钱包存在弱随机性的情况。
警告受害者
Unciphered公开披露了这个漏洞,但在静静地警告受影响的用户数月后才这样做,提醒他们关注他们的资产的风险。挑战在于说服数百万受害者转移他们的资金,同时又不让潜在的窃贼察觉到这个漏洞。
Blockchain.com,负责生成这种钱包的最大网站,被Unciphered联系,以悄悄地通知受影响的用户。Blockchain.com向超过110万受影响的钱包持有者发送了电子邮件,并找到一种方法来自动更新任何访问其网站的用户的钱包。
然而,许多受影响的用户并未直接收到警告,因为他们用来创建他们的钱包的网站已不再运营。
对于那些担心他们钱包安全的人来说,像cryptoview.io这样的平台提供了对您的加密货币投资组合的全面视图,使您能够监控您的资产并了解潜在的漏洞。
