计算机研究员发现了为多个用户提供相同密钥的钱包漏洞
在线加密货币 纸币钱包创建者WalletGenerato之前运行的代码导致私钥 /公钥对被发布给多个用户。5月24日,MyCrypto的安全研究Harry Denley 在官方博客文章中描述了这个漏洞。
根据这篇文章,坏的代码在2018年8月生效,并且最近才在5月23日修补。据报道,网站上的实时代码应该是开源的,并在GitHub上进行审核,但是检测到的差异他们俩。在研究了实时代码之后,Denley得出结论,密钥是在网站的实时版本上确定性生成的,而不是随机生成的。
在5月18日至23日之间的MyCrypto测试中,他们试图使用该网站的批量生成器来制作1,000个密钥。GitHub版本返回了1,000个唯一键,但实时代码返回了120个键。据报道,即使在调整了其他因素(包括浏览器刷新,VPN更改或用户更改)时,运行批量生成器始终返回120个唯一键而不是1,000个。
“ELI5:生成密钥时,您将获取一个超级随机数,将其转换为私钥,然后将其转换为公钥/地址。但是,如果“超级随机”数字始终为“5”,则生成的私钥将始终相同。这就是为什么超级随机数实际上是随机的非常重要...不是5。“
在MyCrypto在调查过程中伸出援助之后,WalletGenerator修补了决定论问题。据称,WalletGenerator后来回应说这些指控无法验证,甚至还询问了记者,MyCrypto是否是一个“网络钓鱼网站”。
MyCrypto补充说,2018年8月17日之后生成密钥对的用户应该立即将资金转移到另一个钱包,并建议不要使用WalletGenerator。
正如Cointelegraph 之前报道的那样,一个所谓的“区块链强盗” 通过猜测以太坊区块链上的弱私钥而以大约45,000以太(ETH)取消。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
两部门:鼓励符合条件的煤电低碳化改造项目通过发行REITs、绿色债券等渠道融资
美洲杯-劳塔罗第112分钟绝杀梅西伤退 阿根廷1-0哥伦比亚连续3届大赛夺冠
新消费日报 小米辟谣将推SU8;奢侈品电商寺库网已被纳斯达克强制退市;余承东揭秘“25亿元转让问界”……
英特尔酷睿 Ultra 200 系列 Arrow Lake-S 桌面处理器规格曝光