Мабільны крыпта-кашалёк Edge абвясціў аб інцыдэнце бяспекі, у выніку якога адбылася ўцечка каля 2000 прыватных ключоў. Кампанія заклікала карыстальнікаў абнавіць Edge Wallet да апошняй версіі па меры далейшага расследавання.
У тэрміновае паведамленне 22 лютага Edge выявіў уразлівасць у дадатку, якая можа выклікаць уцечку закрытых ключоў.
З-за бачнасці ключоў на серверы часопісаў Edge уразлівасць скампраметавала каля 2000 закрытых ключоў, адправіўшы іх у інфраструктуру Edge.
Па словах Edge, гэта складае менш за 0.01% ад прыблізнай агульнай колькасці ключоў, створаных на платформе.
Кампанія, аднак, пацвердзіла, што серверы часопісаў Edge не былі скампраметаваныя і што сродкі карыстальнікаў усё яшчэ некранутыя.
«Выбаркавая праверка некалькіх дзясяткаў прыватных ключоў паказвае, што ў многіх яшчэ ёсць сродкі. Дзякуючы гэтаму мы пераканаліся, што не было шырокага ўзлому інфраструктуры Edge, які паставіў бы пад пагрозу пераважную большасць сродкаў на такіх ключах».
Заява для прэсы Edge
Эдж сказаў, што атака адбылася 20 лютага, і супрацоўнікі былі папярэджаны карыстальнікам, які сутыкнуўся з несанкцыянаванай транзакцыяй, у выніку якой сродкі былі вычышчаны з кашалька Bitcoin. Зламыснік скраў толькі биткойны (BTC) і пакінуў іншыя актывы.
Паколькі Edge выкарыстоўвае індывідуальныя галоўныя закрытыя ключы для кожнага кашалька, кампанія вызначыла, што быў скампраметаваны толькі прыватны ключ іх биткойн-кашалька, а не ўліковы запіс карыстальніка.
Акрамя таго, у Edge заявілі, што яны атрымалі толькі некалькі скаргаў аб страце сродкаў карыстальнікамі ў памеры 5 лічбаў у доларах ЗША, што паказвае на тое, што інцыдэнт мог быць мэтанакіраванай атакай на карыстальнікаў.
Каманда выявіла некалькі дзеянняў, якія маглі прывесці да ўразлівасці прыватных ключоў. Першы быў, калі карыстальнік выбіраў пэўныя параметры на ўкладках пакупкі і продажу, што прывяло б да запісу кашалька ў зашыфраваным выглядзе закрыты ключ на дыск прылады.
Па-другое, калі карыстальнікі выкарыстоўвалі функцыю загрузкі журналаў, якая адпраўляла б журналы на серверы Edge, уключаючы прыватны ключ, калі былі выбраны варыянты куплі і продажу.
«Мы працягваем расследаванне, уключаючы глыбокую крыміналістыку прылад, каб вызначыць, ці магло шкоднаснае праграмнае забеспячэнне мець доступ да незашыфраваных закрытых ключоў на дыску».
Заява для прэсы Edge
З тых часоў кампанія заклікала карыстальнікаў абнавіць сваю апошнюю версію Edge (v3.3.1), якая даступная ў Google Play Store, App Store і для прамой загрузкі на іх сайт.
Новы выпуск, па іх словах, выпраўляе ўсе вядомыя ўразлівасці, звязаныя з прыватнымі ключамі кашалька, і неадкладна выдаляе ўсе папярэднія ўваходы з дыска.
Крыніца: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/