Открыть меню

Computer Forscher Findet Brieftasche Schwachstelle, Gab Denselben Schlüssel für Mehrere Benutzer


Online kryptogeld paper wallet Schöpfer WalletGenerator.net zuvor lief der code, der verursacht private key/public key-pairs ausgestellt werden, um mehrere Benutzer. Die Sicherheitsanfälligkeit beschrieben wurde, in einem offiziellen blog-post von Sicherheitsforschung Harry Denley von MyCrypto am 24.

Nach der post, die schlechten code gültig war, bis zum August 2018, und wurde erst vor kurzem gepatcht aus, im Mai 23. Der live-code auf der website ist berichten zufolge soll open source sein und geprüft auf GitHub, aber es gab Unterschiede festgestellt zwischen den beiden. Nach der Erforschung der live-code, Denley dem Schluss, dass der Schlüssel deterministisch erzeugt, auf die live-version von der website, nicht zufällig.

In einem MyCrypto tests zwischen Mai 18-23, versuchte Sie, die website zu verwenden, bulk-generator, um die 1.000 keys. Die GitHub-version zurückgegeben 1000 einmalige Schlüssel, aber der live-code wird zurückgegeben, 120 Tasten. Läuft der Großteil des Generators immer angeblich zurückgegeben 120 unique-Schlüsseln anstelle von 1.000, auch wenn andere Faktoren wurden verändert, einschließlich browser aktualisiert, VPN-änderungen oder änderungen der Benutzerdaten.

Zufälligkeit ist erforderlich, um den Schlüssel zu generieren-Paarungen in Reihenfolge für die Papier-Geldbörsen zu sichern. Als die post es ausdrückt:

“ELI5: Wenn generiert einen Schlüssel, nehmen Sie einen super-random-number, die schalten Sie es in dem privaten Schlüssel, und drehen Sie diese in die öffentlichen Schlüssel / Adresse. Jedoch, wenn der ‘super-random’ wird immer die Nummer ‘5,’ der private Schlüssel, der erzeugt wird, wird immer der gleiche sein. Dies ist der Grund, warum es so wichtig ist, dass die super-Zufallszahl wirklich zufällig…nicht ‘5.’”

WalletGenerator gepatcht das Determinismus-problem nach MyCrypto erreicht in der Mitte der Untersuchung. WalletGenerator angeblich geantwortet, danach zu sagen, dass die Vorwürfe nicht verifiziert werden konnte, und sogar gefragt, ob der Korrespondent, wenn MyCrypto war eine “phishing-website”.

MyCrypto Hinzugefügt, dass Benutzer, die generierten Schlüsselpaare nach August 17, 2018 soll sofort zu bewegen, Ihre Fonds auf eine andere wallet und empfohlen, nicht zu verwenden WalletGenerator.net.

Wie bereits berichtet von Cointelegraph, eine so genannte “blockchain ” bandit” machte sich mit rund 45.000 ether (ETH) durch erraten des schwachen privaten Schlüssel auf der Astraleums blockchain.

Fügen Sie einen Kommentar ein…

Source: cointelegraph.com

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2021 Crypto-News · All rights reserved
<<2018>>