Mobilais kriptogrāfijas maciņš Edge ir paziņojis par drošības incidentu, kurā noplūdušas aptuveni 2000 privātās atslēgas. Uzņēmums ir mudinājis lietotājus atjaunināt uz jaunāko Edge Wallet versiju, turpinot izmeklēšanu.
In steidzams paziņojums 22. februārī Edge atklāja lietotnes ievainojamību, kas varētu nopludināt privātās atslēgas.
Tā kā Edge žurnālu servera atslēgas ir redzamas, ievainojamība apdraudēja aptuveni 2000 privāto atslēgu, nosūtot tās uz Edge infrastruktūru.
Pēc Edge teiktā, tas ir mazāk nekā 0.01% no aptuvenā platformā izveidoto atslēgu kopskaita.
Tomēr uzņēmums apstiprināja, ka Edge žurnālu serveri nav apdraudēti un ka lietotāju līdzekļi joprojām ir neskarti.
“Vairāku desmitu privāto atslēgu izlases veida pārbaude liecina, ka daudziem joprojām ir atlikuši līdzekļi. Tādējādi mēs pārliecināmies, ka Edge infrastruktūrai nav bijis plašs kompromiss, kas būtu apdraudējis lielāko daļu līdzekļu šādām atslēgām.
Edge preses paziņojums
Edge teica, ka uzbrukums notika 20. februārī, un darbiniekus brīdināja lietotājs, kurš piedzīvoja nesankcionētu darījumu, kas izvilka līdzekļus no viņu Bitcoin maka. Uzbrucējs nozaga tikai bitcoīnu (BTC) un atstāja citus aktīvus.
Tā kā Edge katram makam izmanto atsevišķas galvenās privātās atslēgas, uzņēmums noteica, ka tika apdraudēta tikai viņu bitcoin maka privātā atslēga, nevis lietotāja konts.
Edge arī norādīja, ka viņi ir saņēmuši tikai dažas sūdzības par to, ka lietotājiem trūkst līdzekļu, kuru apjoms ir zems 5 cipari USD, kas norāda, ka incidents, iespējams, bija mērķtiecīgs uzbrukums lietotājiem.
Komanda atklāja dažas darbības, kas varēja izraisīt privāto atslēgu ievainojamību. Pirmais bija, ja lietotājs pirkšanas un pārdošanas cilnēs atlasīja konkrētas opcijas, kā rezultātā būtu reģistrēts maka šifrētais privātā atslēga ierīces diskā.
Otrais bija tas, ja lietotāji izmantoja augšupielādes žurnālu funkciju, kas nosūtītu žurnālus Edge serveriem, tostarp privāto atslēgu, ja tika atlasītas pirkšanas un pārdošanas opcijas.
"Mēs turpinām izmeklēšanu, tostarp dziļās ierīces kriminālistikas, lai noteiktu, vai ļaunprātīgai programmatūrai, iespējams, ir bijusi piekļuve diskā esošajām nešifrētajām privātajām atslēgām."
Edge preses paziņojums
Kopš tā laika uzņēmums ir mudinājis lietotājus atjaunināt jaunāko Edge versiju (v3.3.1), kas ir pieejama Google Play veikalā, App Store un tiešā lejupielāde viņu vietnēs. mājas lapa.
Viņi teica, ka jaunajā laidienā tiek novērstas visas zināmās ievainojamības, kas saistītas ar seifa privātajām atslēgām, un nekavējoties tiek izdzēsti visi iepriekšējie žurnāli no diska.
Avots: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/