Обменник

Еще одна ошибка была обнаружена в биткойн-кошельке, что привело к краже около 50 биткойнов. На этот раз веб-кошелек Blockchain.info был виноват, и компания теперь предлагает возмещение пользователям, потерявшим биткойны из-за недостатка.

Популярный веб-сайт Blockchain в основном предлагает рыночные данные и служит в качестве главного исследователя цепочек блоков для валюты биткойнов. Тем не менее, пользователи могут также создавать веб-кошельки для отправки и приема биткойнов. Ошибка заключается в генераторе случайных чисел, который использует веб-кошелек для подписи биткойн-транзакций. Случайные числа генерируются в веб-браузерах с использованием языка программирования JavaScript. Он был обнаружен в понедельник, когда пользователь биткойнов сообщается что у него было 1,8 БТД (около 223 долларов).

«Фонды с других адресов в этом кошельке не повлияли. Это приводит меня к мысли о том, что Blockchain.info или Firefox могут иметь некоторую слабость в генераторе случайных чисел, так как уязвимость недавно была обнаружена в Android, [sic]», – сказал он.

Эта ошибка следует за другой случайной ошибкой генератора найденный в операционной системе Android ранее в этом месяце. Эта ошибка повлияла на генерацию секретных ключей для биткойн-адресов. Повторение случайных чисел позволило злоумышленникам определить личные ключи кошельков пользователей, что, в свою очередь, позволяло им владеть адресами биткойнов, связанными с этими ключами.

Этот недостаток был затронут несколькими клиентами Android (включая клиента Blockchain.info, для которого он выпустил патч). Но этот последний недостаток затронул клиент браузера Blockchain.info, его расширения Chrome и Firefox и его приложение Mac OSX.

В отличие от Android-ошибки, этот недостаток повлиял только на подписание транзакций, а не на создание закрытых ключей, подтвердил Бен-Ривз Blockchain (aka Piuk) на форуме Bitcointalk. Он добавил, что Firefox особенно уязвим для плохого посева своего генератора случайных чисел.

«В отличие от проблемы с Android, RNG [генератор случайных чисел], используемый для генерации секретных ключей, не был затронут, поэтому кошельки не нуждаются в повторном подключении», – сказал Ривз CoinDesk. «Пока ваш клиент обновляется для будущих транзакций, вы не будете подвержены риску».

Blockchain.info теперь исправил ошибку. Пользователи должны убедиться, что они используют следующие номера версий клиента:

  • Расширение Chrome – v2.85
  • Расширение Firefox – v1.97
  • Клиент Mac – v0.11

Кроме того, те, кто просто использует веб-кошелек (без плагина), должны очистить свой кеш браузера до использования веб-сайта Blockchain.

Другой пользователь форума посоветовал членам форума в США о возможном юридическом возмещении через федеральные законы против уголовного мошенничества ,

Когда его спросили о личности атакующего (-ов), Ривз подтвердил, что злоумышленник является физическим лицом и что все похищенные средства были отправлены по следующему адресу: 1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj ,

Примечательно, что средства, переведенные на этот счет, также включают средства, полученные от пользователей Android в начале этого месяца, предполагая, что один и тот же человек может оказаться за кражей биткойнов, используя обе ошибки.

Для тех, кто хочет восстановить потерянные средства, Ривз сказал нам: «Если кто-то считает, что у них были украдены деньги, если это связано с этой ошибкой, очень вероятно, что монеты будут отправлены по вышеуказанному адресу. Если есть сомнения, они могут связаться [Электронная почта защищена] и я буду исследовать дальше. До сих пор было возвращено только несколько БТД ».

Ривз намекнул на проблеск надежды на потерянные средства: «Это зависит от намерений атакующего, но есть вероятность, что они могут вернуть средства». Но преобладающее сообщение: не банку на нем.

Представитель Blockchain.info сказал, что Ривз выпустил (вышеупомянутые) исправления в течение нескольких часов после обнаружения недостатка и добавил: «Это поистине удивительное время».

Список адресов, затронутых ошибками генератора случайных чисел, как на Blockchain, так и на Android, был опубликовано на форуме Биткойн , а также обновлены новые находки. Он сказал нам: «Если кто-то считает, что их деньги были украдены из-за этого эксплойта, они должны проверить, включен ли их биткойн-адрес в списке. Если это так, свяжитесь с нами по адресу: https://blockchain.info/support-desk , Если это не так, значит, вы не стали жертвой этого эксплойта ».

Вы потеряли биткойны? Вы были возвращены? Дайте нам знать об этом в комментариях.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here