Ошибка старого криптокошелька ставит под угрозу 2,1 миллиарда долларов: не зашифровано

Компания Unciphered, занимающаяся крипто-кибербезопасностью, обнаружила десятилетнюю ошибку в крипто-кошельках, затрагивающую браузерные кошельки, созданные в период с 2011 по 2015 год.

Эта ошибка может позволить злоумышленникам украсть до 2,1 миллиарда долларов из кошельков в различных сетях, включая Bitcoin (BTC), Dogecoin (DOGE), Litecoin (Ltc) и Zcash (ZEC).

Обнаружение древней ошибки

В интервью Wall Street Journal команда Unciphered объяснила, что они случайно обнаружили ошибку во время неудачной попытки вернуть 600 000 долларов одного из первых инвесторов в потерянных биткойнах (BTC).

Предприниматель Ник Салливан создал свой биткойн-кошелек еще в 2014 году с помощью сайта Blockchain.info (с тех пор переименованного в Blockchain.com). Позже он случайно потерял доступ к своим монетам после того, как стер память своего компьютера, не забыв записать приватный ключ своего кошелька.

По запросу Салливана Unciphered начала поиск монет Салливана в январе 2022 года. Хотя в конечном итоге им не хватило информации, чтобы вернуть их, в процессе они поняли, что код Blockchain.info для создания случайных ключей кошелька — BitcoinJS — не делать все свои кошельки достаточно случайными.

«BitcoinJS ужасно распался до марта 2014 года», — сказал соучредитель Unciphered Эрик Мишо. «Любой, кто напрямую его использует, находится на очень высоком уровне риска нападения».

Другой сайт-кошелек, Dogecoin.info, также использовал BitcoinJS, в результате чего многие старые пользователи Dogecoin подвергались той же уязвимости.

Unciphered утверждает, что кошельки, созданные до марта 2012 года, содержат активы на сумму 100 миллионов долларов, которые легко могут быть взломаны пользователем домашнего компьютера. Еще 50 миллиардов долларов хранятся в кошельках, созданных до 2015 года, из которых как минимум 500 миллионов долларов уязвимы.

Криптографы обнаружили недостатки в случайности генерации кошельков еще в 2014 году и с тех пор усовершенствовали свои методы. В Unciphered заявили, что не обнаружили ни одного кошелька, созданного после 2016 года и страдающего от слабой случайности.

Как сообщить жертвам?

Unciphered сообщила об уязвимости на этой неделе, но уже несколько месяцев тихо предупреждает затронутых пользователей, что их активы находятся под угрозой.

Задача заключалась в том, чтобы убедить миллионы жертв перевести свои средства, не раскрывая уязвимости ворам, которые в противном случае использовали бы их для кражи монет.

В конечном итоге Unciphered решила обратиться к крупнейшему сайту, ответственному за создание таких кошельков, которые могли бы дискретно уведомлять затронутых пользователей. В итоге именно этот сайт использовал Салливан — Blockchain.com.

Сайт разослал электронные письма владельцам более 1,1 миллиона затронутых кошельков и нашел способ автоматически обновлять кошельки всех, кто посещал его сайт.

«В криптовалюте нужно довольно скептически относиться к людям, которые звонят с чем-то, что звучит драматично, потому что здесь очень много мошенников», — сказал президент Blockchain.com Лейн Кассельман относительно предупреждения Unciphered. «Было неясно, кто они такие и каковы были их масштабы».

Многие затронутые пользователи до сих пор не были предупреждены напрямую, поскольку сайты, которые они использовали для создания своих кошельков, больше не работают.