Otkrivena je ranjivost u novčaniku koja je generisala iste ključeve za više korisnika

Onlajn generator papirnog kripto novčanika WalletGenerator.net je prethodno pokrenuo kod koji je izazvao izdavanje parova privatnih ključeva/javnih ključeva višestrukim korisnicima. Ova ranjivost je opisana u zvaničnom blog postu Harija Denlija iz MyCripto-a 24. maja.

Prema toj objavi, loš kod je bio na snazi do avgusta 2018. godine i tek je nedavno ispravljen, tačnije od 23. maja. Kod na veb-sajtu navodno bi trebalo da bude otvorenog koda i revidiran na GitHub-u, ali su otkrivene razlike između njih. Nakon istraživanja ovog koda, Denli je zaključio da su ključevi deterministički generisani na verziji na sajtu, a ne nasumično.

U jednom od testova za MyCripto između 18. i 23. maja, pokušali su da koriste “bulk” generator sa sajta kako bi napravili 1000 ključeva. Verzija GitHub-a vratila je 1000 jedinstvenih ključeva, ali live kod je vratio 120 ključeva. Pokretanje bulk generatora uvek bi navodno vratilo 120 jedinstvenih ključeva umesto 1000, čak i kada su podešavani drugi faktori, uključujući osvežavanja pretraživača, promene VPN-a ili promene korisnika.

Nasumičnost je potrebna za generisanje ključeva kako bi papirni novčanici bili sigurni.

"ELI5: Kada generišete ključ, uzmete super nasumični broj, pretvorite ga u privatni ključ, a onda njega u javni ključ/adresu. Međutim, ako je “super nasumični” broj uvek “5”, generisani privatni ključ će uvek biti isti. Zato je toliko važno da je super nasumični broj zapravo i jeste nasumičan… a ne “5”."

WalletGenerator je rešio problem determinizma nakon što je MiCrypto pristigao u pomoć usred svoje istage. WalletGenerator je navodno naknadno odgovorio da se te tvrdnje ne mogu verifikovati, pa čak i pitao dopisnika da li je MyCripto „fišing veb-sajt“.

MyCripto je dodao da korisnici koji su generisali ključeve nakon 17. avgusta 2018. godine treba odmah da prebace svoja sredstva u drugi novčanik i preporučili su da ne koriste WalletGenerator.net.

Kako je ranije preneo Cointelegraph, takozvani “blokčein bandit” je ukrao oko 45.000 itera (ETH) tako što je pogađao slabe privatne ključeve na Itirijumovom blokčeinu.