Обнаружена уязвимость Jaxx Wallet: пользователи сообщают о кражах криптовалюты на сумму порядка 400 000 $

1-dZdeWCnXh9K-ndVD6J1Zow

В криптовалютных кошельках Jaxx была обнаружена уязвимость, в результате которой были украдены средства клиентов на сумму не менее 400 000 $.

Команда экспертов Vx Labs, проведя тестирование, подтвердила, что проблема действительно имеет место быть:

«Даже если ваш Jaxx имеет PIN-код безопасности, любой, у кого есть 20-секундный (сетевой) доступ к вашему компьютеру, может извлечь вашу резервную фразу из 12 слов и скопировать ее», — говорится в отчете. «Чтобы это произошло, даже не обязательно запускать Jaxx».

Многочисленные пользователи подтвердили,  что они потеряли эфиры, эфиры классик и Zcash. Приблизительный подсчет показал, что потери составили как минимум 400 000 $.

Тем не менее, Ниланг Вьяс, технический директор Jaxx & Decentral, сообщил на Reddit о том, что не планирует менять настройки безопасности кошелька.

«Мы очень довольны существующей моделью безопасности горячих кошельков», — написал он. «Дело в том, что компромиссы между пользовательским опытом, переносимостью и безопасностью были, есть и будут, и мы считаем, что достигли отличного баланса в этом отношении».

Между тем Вьяс «настоятельно рекомендует» пользователям в будущем «избегать» Jaxx.

«В будущем пользователи смогут связать свой кошелек Jaxx как с Trezor и Ledger, так и с нашими собственными аппаратными кошельками», — продолжил Вьяс. «До этого времени пользуйтесь Jaxx как горячим кошельком для небольших сумм и используйте аппаратные кошельки для крупных объемов средств».

Подписывайтесь на Bitnovosti в telegram!

Делитесь вашим мнением об этой новости в комментариях.

Источник



Categories: Новости

Tags: , ,

Leave a Reply

19 Комментарий на "Обнаружена уязвимость Jaxx Wallet: пользователи сообщают о кражах криптовалюты на сумму порядка 400 000 $"

Notify of
avatar
Дмитрий программист (@DmitrProg)
Гость

Если у меня будет 20-ти секундный доступ к компьютеру, я с любым кошельком могу так сделать. Следовательно, уязвимы все кошельки, включая electrum и bitcoin core.

Анонимно
Гость

Суть уязвимости в том, что seed зашифрован прошитым в коде ключом, одинаковым для всех и достаточно украсть зашифрованный кошелек и расшифровать его этим ключом.

wallet.dat может быть зашифрован паролем, задаваемым пользователем и если украсть зашифрованный wallet.dat — нужно будет подобрать к нему пароль прямым перебором, а это очень долго, если пользователь выбрал стойкий пароль.

Asd_skala
Гость

У Bitcoin core файл с ключами должен быть зашифрован надежным паролем. Кошелькам с фразами я не доверяю, они не принимают составелнные мной фразы, значит количество фраз ограничено алгоритмом кошелька и все они могут быть воспроизведены на другом компьютере без меня.

Анонимно
Гость

Так разрядность приватного ключа остается та же, просто фраза из слов легка для запоминания и записывания на бумагу человеком, в отличие от 5KY7At1DUPWtmARxaB53L5eU7QVNAaH5jzb6mZiaCCha12hN6U5

А прямым подбором одинаково сложно.

Дмитрий программист (@DmitrProg)
Гость

Любые ключи и пароли бесполезны. Если я получил доступ к компьютеру, с работающим кошельком, пусть даже и на 20 секунд.

Александр Петров
Гость

Точно-точно? А если на компе 128Гб и запущено три десятка ВМ, только в одной из которых работает кошелек? )

Анонимно
Гость

Чтобы украсть ключ из Jaxx Wallet не нужно, чтобы он работал и был разблокирован. Достаточно доступа к файлам.

Asd_skala
Гость

речь была об оригинальном кошельке, и чтобы перехватить ключи в дешефрованном виде нужен стандартный набор хакерских методов, которые давно всем известны, поэтому люди и используют холодное хранение.

Alex
Гость

Есть ли подробности ? «Даже если ваш Jaxx имеет PIN-код безопасности, любой, у кого есть 20-секундный (сетевой) доступ к вашему компьютеру, может извлечь вашу резервную фразу из 12 слов и скопировать ее», – говорится в отчете.

В чем суть уязвимости ? Брутфорс ?

Georg
Гость
При получении доступа к кошельку можно скопировать его на свой компьютер. Если при совершении платежа Вы вводите только 4-х значный цифровой код, то можно в спокойной обстановке перебрать все 4-х значные коды и получить доступ к средствам. Защита состоит в том, чтобы не давать доступ к своему устройству. Тут компромисс между удобством и безопасностью. Можно зашифровать свой кошелек сложным паролем, тогда сломать будет трудно. Но пользоваться будет неудобно, при каждом платеже надо вводить сложный пароль. И наоборот, сделаете легкий пароль, пользоваться будет удобно, но безопасности практически никакой. Судя по тому, как легко вытаскиваются данные, в данном случае можно обойтись и… Read more »
Анонимно
Гость

Проблема в другом — они шифруют seed общеизвестным ключом что равнозначно хранению в не зашифрованном виде.

Pavl Ivnov
Гость

А если бы шифровалось 4х значным цифровым пин кодом, это разве осложнило бы дешифрацию? Думаю у нормальных людей иллюзии должны были пройти когда приложение предложило защитить деньги коротким пин кодом.

Alex
Гость

Но речь в статье не про ПИН код, а именно про кодовую фразу «может извлечь вашу резервную фразу из 12 слов и скопировать ее», и это удивительно, ведь фраза в открытом виде нигде не хранится, и ее тоже можно подобрать только перебором, но это невозможно сделать через брутфорс, простым перебором….
В общем я так и не понял в чем суть уязвимости.. ?

Анонимно
Гость

Jaxx хранит резервную фразу зашифровав ее общеизвестным ключом, зашитым в коде кошелька.

Анонимно
Гость

Суть уязвимости что многие юзеры открывают полный доступ на папку Users а там внезапно — C:UsersrootAppDataRoamingJaxx
Необязательно фразу вытаскивать, просто запускается кошелек с этими данными.
Достаточно просто удалять эту папку после завершения сеанса работы с Jaxx. Или же архивировать и шифровать. Также пользоваться только доверенными сетями, выходить в инет через роутер и т д и т п. Это уже вопрос личной безопасности.

Анонимно
Гость

Достаточно просто удалять эту папку

Удалять надо юзеров, которые открывают полный доступ на папку Users

Анонимно
Гость

Зачем Гитлер? Эти юзеры и без него поощряют тотальную слежку и помогают строить цифровой концлагерь, подкармливая гугл и разжигая его аппетиты. Им совсем нечего скрывать и они не видят проблемы в том, что «все правительства пытаются следить за всеми через Интернет, а ваши данные можно украсть или продать, использовать или удалить» и у них не возникает «острая потребность закрыть себя ярко-красным шёлковым плащом от всевидящих глаз Интернета»

V
Editor

Гитлера на них нет, да?

Анонимно
Гость

Проприетарная поделка с частично открытым исходным кодом.

wpDiscuz