找回密码
 立即注册
门户 黑乌鸦事件 查看内容
  • QQ空间
  • 回复
  • 收藏

计算机研究人员发现钱包漏洞,给多个用户相同的密匙

2019-5-28 12:36

 

在线加密货币纸质钱包的创建者WalletGenerator.net以前运行的代码导致私钥/公钥对被分发给多个用户。MyCrypto的安全研究人员Harry Denley在5月24日的一篇官方博客文章中描述了该漏洞。


据《华盛顿邮报》报道,该恶意代码于2018年8月生效,直到5月23日才被修复。据报道,该网站上的实时代码应该是开源的,并在GitHub上进行审计,但两者之间存在差异。在研究了实时代码后,Denley得出结论,密钥是在网站的实时版本上确定生成的,而不是随机生成的。


在MyCrypto 5月18日至23日的一次测试中,他们试图使用该网站的批量生成器生成1000个密钥。GitHub版本返回了1000个唯一的密钥,而live代码返回了120个密钥。据报道,运行批量生成器总是返回120个惟一密钥,而不是1000个,即使在调整了其他因素(包括浏览器刷新、VPN更改或用户更改)之后也是如此。


为了保证纸质钱包的安全性,生成密钥对需要随机性。正如邮报所说:


ELI5:在生成密钥时,取一个超级随机数,将其转换为私钥,并将其转换为公钥/地址。然而,如果“超级随机”数字总是“5”,生成的私钥将总是相同的。这就是为什么超级随机数实际上是随机的,而不是‘5’如此重要的原因。”


WalletGenerator在对MyCrypto进行调查的过程中找到了解决决定论问题的方法。据称WalletGenerator随后回应称,这些指控无法得到证实,甚至问记者MyCrypto是否是一个“钓鱼网站”。


MyCrypto补充说,2018年8月17日以后生成密钥对的用户应该立即将资金转移到另一个钱包,并建议不要使用WalletGenerator.net。


正如Cointelegraph之前报道的,一个所谓的“区块链强盗”通过猜测Ethereum区块链上的弱私钥偷走了大约45,000个以太(ETH)。

    原作者: Max Boddy中链传媒编译 来自: cointelegraph
    文章点评