Το κινητό κρυπτογραφικό πορτοφόλι Edge ανακοίνωσε ένα περιστατικό ασφαλείας όπου περίπου 2000 ιδιωτικά κλειδιά έχουν διαρρεύσει. Η εταιρεία προέτρεψε τους χρήστες να ενημερώσουν την πιο πρόσφατη έκδοση του Edge Wallet καθώς συνεχίζουν τις έρευνές τους.
Σε μία επείγουσα ειδοποίηση Στις 22 Φεβρουαρίου, ο Edge ανακάλυψε ένα θέμα ευπάθειας στην εφαρμογή που θα διέρρευε ιδιωτικά κλειδιά.
Λόγω της ορατότητας των κλειδιών στον διακομιστή καταγραφής Edge, η ευπάθεια παραβίασε περίπου 2000 ιδιωτικά κλειδιά στέλνοντάς τα στην υποδομή Edge.
Σύμφωνα με τον Edge, αυτό αντιστοιχεί σε λιγότερο από το 0.01% του κατά προσέγγιση συνολικού αριθμού κλειδιών που δημιουργήθηκαν στην πλατφόρμα.
Η εταιρεία, ωστόσο, επιβεβαίωσε ότι οι διακομιστές καταγραφής Edge δεν είχαν παραβιαστεί και ότι τα χρήματα των χρηστών παραμένουν άθικτα.
«Ένας δειγματοληπτικός έλεγχος πολλών δεκάδων ιδιωτικών κλειδιών δείχνει ότι πολλοί έχουν ακόμα κεφάλαια. Μέσω αυτού, διαπιστώνουμε ότι δεν υπήρξε ένας εκτεταμένος συμβιβασμός της υποδομής Edge που θα είχε θέσει σε κίνδυνο τη συντριπτική πλειονότητα των κεφαλαίων για τέτοια κλειδιά».
Δήλωση τύπου Edge
Ο Edge είπε ότι η επίθεση σημειώθηκε στις 20 Φεβρουαρίου και το προσωπικό ειδοποιήθηκε από έναν χρήστη που αντιμετώπισε μια μη εξουσιοδοτημένη συναλλαγή που σάρωσε χρήματα από το πορτοφόλι του Bitcoin. Ο εισβολέας έκλεψε μόνο bitcoin (BTC) και άφησε άλλα περιουσιακά στοιχεία.
Δεδομένου ότι ο Edge χρησιμοποιεί μεμονωμένα κύρια ιδιωτικά κλειδιά για κάθε πορτοφόλι, η εταιρεία διαπίστωσε ότι μόνο το ιδιωτικό κλειδί του πορτοφολιού bitcoin είχε παραβιαστεί και όχι ο λογαριασμός του χρήστη.
Ο Edge δήλωσε περαιτέρω ότι έλαβαν μόνο μερικά παράπονα για τους χρήστες που έλειπαν χρήματα, που ανέρχονται σε χαμηλά 5 νούμερα σε USD, υποδεικνύοντας ότι το περιστατικό μπορεί να ήταν μια στοχευμένη επίθεση στους χρήστες.
Η ομάδα ανακάλυψε μερικές ενέργειες που θα μπορούσαν να έχουν οδηγήσει σε μια ευπάθεια στα ιδιωτικά κλειδιά. Το πρώτο ήταν εάν ένας χρήστης επέλεγε συγκεκριμένες επιλογές κάτω από τις καρτέλες αγοράς και πώλησης, κάτι που θα είχε ως αποτέλεσμα την καταγραφή των κρυπτογραφημένων του πορτοφολιού ιδιωτικό κλειδί στον δίσκο της συσκευής.
Το δεύτερο ήταν εάν οι χρήστες χρησιμοποιούσαν τη λειτουργία καταγραφής μεταφόρτωσης, η οποία θα έστελνε τα αρχεία καταγραφής στους διακομιστές Edge, συμπεριλαμβανομένου του ιδιωτικού κλειδιού, εάν είχαν επιλεγεί οι επιλογές αγοράς και πώλησης.
«Συνεχίζουμε την έρευνα, συμπεριλαμβανομένης της βαθιάς εγκληματολογίας συσκευών για να προσδιορίσουμε εάν το κακόβουλο λογισμικό μπορεί να είχε πρόσβαση στα μη κρυπτογραφημένα ιδιωτικά κλειδιά στο δίσκο».
Δήλωση τύπου Edge
Έκτοτε, η εταιρεία προέτρεψε τους χρήστες να ενημερώσουν την πιο πρόσφατη έκδοση του Edge (v3.3.1), η οποία είναι διαθέσιμη στο Google Play Store, το App Store και απευθείας λήψη στο δικό τους .
Η νέα έκδοση, είπαν, διορθώνει όλα τα γνωστά τρωτά σημεία που αφορούν τα ιδιωτικά κλειδιά του πορτοφολιού και διαγράφει αμέσως όλα τα προηγούμενα αρχεία καταγραφής από τον δίσκο.
Πηγή: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/