Peneliti MyCrypto menemukan kerentanan dompet yang memiliki kunci sama
Jelajahcoin.me – Pembuat cryptocurrency dompet online WalletGenerator.net sebelumnya berlari pada kode yang menyebabkan pasangan kunci publik / kunci publik dikeluarkan untuk banyak pengguna, menurut MyCrypto.
Kerentanan itu dijelaskan dalam posting blog resmi oleh penelitian keamanan Harry Denley dari MyCrypto pada 24 Mei.
Menurut posting itu, kode buruk itu berlaku pada Agustus 2018, dan baru saja ditambal pada tanggal 23 Mei.
Kode langsung di situs web itu dilaporkan seharusnya open source dan diaudit di ada perbedaan yang terdeteksi antara keduanya Setelah meneliti kode langsung.
Denley menyimpulkan bahwa kunci secara deterministik dihasilkan pada versi langsung dari situs web, bukan secara acak.
Dalam salah satu pengujian MyCrypto antara 18-23 Mei, mereka mencoba menggunakan dompet generator massal situs web untuk membuat 1.000 kunci.
Versi GitHub mengembalikan 1.000 kunci unik, tetapi kode langsung mengembalikan 120 kunci.
Menjalankan generator curah selalu dilaporkan mengembalikan 120 kunci unik alih-alih 1.000 bahkan ketika faktor-faktor lain di-tweak.
Termasuk pembaruan browser, perubahan VPN, atau perubahan pengguna yang dihasilkan.
Keacakan diperlukan untuk menghasilkan pasangan kunci agar dompet kertas menjadi aman. Seperti yang dikatakan oleh pos:
“ELI5: Saat membuat kunci, Anda mengambil nomor super-acak, mengubahnya menjadi kunci pribadi, dan mengubahnya menjadi kunci publik / alamat. Namun, jika nomor ‘super-acak’ selalu ‘5, ‘kunci pribadi yang dihasilkan akan selalu sama. Inilah sebabnya mengapa sangat penting bahwa angka super-acak sebenarnya acak … bukan ‘5.’”
WalletGenerator memperbaiki masalah determinisme setelah MyCrypto mengulurkan tangan selama tengah penyelidikan.
WalletGenerator konon merespons setelah mengatakan bahwa tuduhan itu tidak dapat diverifikasi.
WalletGenerator bahkan bertanya kepada koresponden jika MyCrypto adalah “situs web phishing.”.
MyCrypto menambahkan bahwa pengguna yang menghasilkan keypairs setelah 17 Agustus 2018 harus segera memindahkan dana mereka ke dompet lain dan merekomendasikan untuk tidak menggunakan WalletGenerator.net.
Seperti dilaporkan sebelumnya, yang disebut “blockchain bandit” dibuat dengan sekitar 45.000 eter (ETH) dengan menebak kunci pribadi yang lemah pada blockchain Ethereum.