Εκατομμύρια παλιά πορτοφόλια Bitcoin έχουν κρίσιμα ελαττώματα ασφαλείας, λένε οι ειδικοί
:
Lukas Gojda / Shutterstock.com
(
Shutterstock
)
Σύμφωνα με έκθεση του
Washington Post
.
Σύμφωνα με την Unciphered, μια εταιρεία ανάκτησης κρυπτονομισμάτων, ένας ανείπωτος αριθμός πορτοφολιών κρυπτονομισμάτων σχεδιάστηκε με ψεύτικα ελαττώματα που αφήνουν μια κερκόπορτα στον κώδικα που οι χάκερ μπορούσαν εύκολα να ανοίξουν. Τα κρυπτογραφημένα συστήματα λογισμικού όπως τα κρυπτογραφικά πορτοφόλια βασίζονται συχνά σε γεννήτριες τυχαίων αριθμών, αλλά η εταιρεία διαπίστωσε ότι ένας σημαντικός αριθμός πορτοφολιών κατασκευάστηκε σε
λογισμικό
ανοιχτού κώδικα που χρησιμοποιούσε αριθμούς που δεν είναι σχεδόν αρκετά τυχαίοι. Αυτά τα ευάλωτα πορτοφόλια χρησιμοποιούν κλειδιά με αριθμούς που είναι ένας στις πολλές χιλιάδες αντί για ένα στο τρισεκατομμύριο, καθιστώντας τα επιρρεπή σε επιθέσεις ωμής βίας.
Η Unciphered είπε στην Post ότι το προσωπικό της έχει έρθει σε
επα
φή με πάνω από ένα εκατομμύριο άτομα για να τους ενημερώσει για το ζήτημα, με το παρατσούκλι “Randstorm”, αλλά εκατομμύρια άλλοι είναι πιθανό να επηρεαστούν. Μπορείτε να ελέγξετε εάν το πορτοφόλι σας επηρεάζεται στον ιστότοπο
keybleed.com
.
Το ζήτημα φέρεται να προέρχεται από ένα λογισμικό που ονομάζεται BitcoinJS που χρησιμοποιείται για τη δημιουργία πορτοφολιών από μια σειρά από δημοφιλή καταστήματα κρυπτογράφησης, όπως το Blockchain.info (μετονομάστηκε Blockchain.com), το Dogechain.info (η κύρια πηγή πορτοφολιών που χρησιμοποιούνται για το Dogecoin) και πολλά άλλες ιστοσελίδες.
Όποιος χρησιμοποιεί πορτοφόλι κατασκευασμένο με BitcoinJS «διατρέχει πολύ υψηλό κίνδυνο επίθεσης», δήλωσε ο συνιδρυτής της Unciphered Eric Michaud στην Post.
Τα πορτοφόλια που δημιουργήθηκαν πριν από τον Μάρτιο του 2012 είναι ιδιαίτερα επικίνδυνα, σύμφωνα με το Unciphered. Τα περισσότερα πορτοφόλια που δημιουργήθηκαν από τότε μέχρι το τέλος του 2015 είναι καλά, αλλά τουλάχιστον το 2% θα μπορούσε να είναι ευάλωτο. Οι γεννήτριες τυχαίων αριθμών που χρησιμοποιούνται στην κοινότητα κρυπτογράφησης έχουν έκτοτε βελτιωθεί και κάθε νέο πορτοφόλι θα πρέπει να είναι ασφαλές — τουλάχιστον από αυτό το συγκεκριμένο ζήτημα. Η Unciphered δεν βρήκε κανένα πορτοφόλι που δημιουργήθηκε μετά το 2016 που να περιέχει το ελάττωμα του Randstorm.
Το Blockchain.com, το οποίο είναι ο πιο δημοφιλής ιστότοπος που εξακολουθεί να λειτουργεί και αξιοποίησε το ελαττωματικό λογισμικό, βρήκε έναν τρόπο να ενημερώνει αυτόματα τα πορτοφόλια των χρηστών όταν επισκέπτονται την πλατφόρμα και έστειλε email σε 1,1 εκατομμύρια πελάτες που επηρεάστηκαν. Η εταιρεία λέει ότι το πρόβλημα ήταν παρόν μόνο στο 2% από τα 90 εκατομμύρια πορτοφόλια που δημιούργησε όλα αυτά τα χρόνια. Ωστόσο, εκατομμύρια άλλοι άνθρωποι εκεί έξω μπορεί να εξακολουθούν να είναι ανοιχτοί στην ευπάθεια και αν πήραν τα πορτοφόλια τους από εταιρείες που έκλεισαν από τότε, μπορεί να μην υπάρχει τρόπος να τους ειδοποιήσουν απευθείας.
Διόρθωση 2:41 μμ:
Μια προηγούμενη έκδοση αυτού του άρθρου εντόπισε το λάθος κομμάτι λογισμικού που ευθύνεται για το ελάττωμα. Το λογισμικό ονομάζεται BitcoinJS. Λυπούμαστε για το λάθος.
VIA:
gizmodo.com