Lỗ hổng trên WalletGenerator.net khiến nhiều người dùng có cùng 1 khóa bảo mật

Người tạo ví crypto trực tuyến WalletGenerator.net trước đây đã chạy một mã khiến các cặp khóa riêng/ khóa chung được phát hành cho nhiều người dùng. Lỗ hổng được mô tả trong một bài đăng trên blog chính thức của nghiên cứu bảo mật Harry Denley của MyCrypto vào ngày 24 tháng 5.

Xem thêm:

Theo bài đăng, mã xấu đã có hiệu lực vào tháng 8 năm 2018 và chỉ mới được vá gần đây kể từ ngày 23 tháng 5. Mã trực tiếp trên trang web được cho là nguồn mở và được kiểm toán trên GitHub, nhưng giữa mã và GitHub có sự khác biệt. Sau khi nghiên cứu mã trực tiếp, Denley kết luận rằng các khóa được tạo có ý đồ trên phiên bản trực tiếp của trang web, không phải ngẫu nhiên.

Trong một trong những thử nghiệm MyCrypto, từ ngày 18 đến 23 tháng 5, họ đã cố gắng sử dụng trình tạo số lượng lớn của trang web để tạo ra 1.000 khóa. Phiên bản GitHub trả về 1.000 khóa duy nhất, nhưng mã trực tiếp trả về 120 khóa. Chạy trình tạo số lượng lớn luôn trả về 120 khóa duy nhất thay vì 1.000 ngay cả khi các yếu tố khác được điều chỉnh, bao gồm làm mới trình duyệt, thay đổi VPN hoặc thay đổi người dùng.

Sự ngẫu nhiên là cần thiết để tạo ra các cặp khóa để các ví giấy được an toàn:

“ELI5: Khi tạo một khóa, bạn lấy một số siêu ngẫu nhiên, biến nó thành khóa riêng và biến nó thành khóa/ địa chỉ công khai. Tuy nhiên, nếu số ‘siêu ngẫu nhiên ‘luôn là 5, thì khóa riêng được tạo sẽ luôn giống nhau. Đây là lý do tại sao nó rất quan trọng đến nỗi số siêu ngẫu nhiên thực sự là ngẫu nhiên chứ không phải 5.”

WalletGenerator đã vá vấn đề sau khi MyCrypto tiếp cận trong quá trình điều tra. WalletGenerator đã cố tình trả lời sau đó nói rằng các cáo buộc không thể được xác minh, và thậm chí đã hỏi phóng viên rằng MyCrypto có phải là một trang web lừa đảo hay không.

MyCrypto nói thêm rằng những người dùng đã tạo ra các khóa sau ngày 17 tháng 8 năm 2018 nên chuyển ngay tiền của họ sang một ví khác và khuyên không nên sử dụng WalletGenerator.net.

Trước đây, một vụ cướp blockchain đã lấy đi khoảng 45.000 ether (ETH) bằng cách đoán các khóa riêng tư yếu trên blockchain Ethereum.

Theo dõi Kênh tin tức 24h và Fanpage VikoCapital để theo dõi các tin tức đầu tư và thị trường crypto!

Tổng hợp & biên tập: Tradie Morgan – cointelegraph.com

Chia sẻ bài viết

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Avatar