Уязвимость функции JavaScript может представлять опасность для биткойн-ходлеров

Уязвимость в javascript функции может быть рискованной для Биткойнов ходлеров
Группа исследователей опубликовала предупреждение об уязвимости старых биткойн-адресов, которые генерировались через приложения для создания криптокошельков на JavaScript.


Согласно проведенному исследованию, хакеры могут воспользоваться старой криптографической уязвимостью Java и украсть биткойны с адресов, которые генерировались с помощью SecureRandom функции на Javascript. При помощи брутфорс атаки киберпреступники могут завладеть приватными ключами, а значит, и биткойнами.

Уязвимость связана с функцией JavaScript SecureRandom, которая использовалась ранее для генерации биткойн-адресов и ключей. Биткойн- адрес представляет из себя буквенно-цифровой код, устанавливающий назначение биткойн-платежа, как для адреса электронной почты. Ключ схож с паролем, поскольку математически привязан к адресу кошелька.

Согласно заявлению одного из разработчиков Linux Foundation, функция SecureRandom, в действительности, выдает не полностью случайный набор символов. Об этой же уязвимости заявлял ранее Дэвид Джерард, Unix-эксперт из Великобритании. После этих замечаний тема стала широко обсуждаться в криптосообществе.

Консенсус SecureRandom не является полностью случайным и характеризуется низким уровнем энтропии криптографических ключей, которые он генерируют. Энтропия характеризует степень непредсказуемости системы: чем больше энтропия, тем сложнее взломать код с помощью простого подбора.

Согласно Джерарду, функция генерирует криптографические ключи с энтропией менее 48 бит, что делает приватный ключ уязвимым для брутфорс атак.

Джерард отметил, что дискуссии по этой конкретной уязвимости ведутся на форуме Bitcointalk с 2013-го года. В то время некоторые онлайн-провайдеры биткойн-кошельков использовали функцию SecureRandom для генерации ключей.

Джерард также сообщает, что многие адреса, сгенерированные с использованием сервиса BitAddress до 2013-го года или Bitcoinjs до 2014-го года, наиболее вероятно содержат описанную уязвимость. Джерард считает, что и современное ПО провайдеров биткойн-кошельков может содержать уязвимости, так как они могут использовать устаревшие коды с GitHub. По мнению эксперта, для взлома сгенерированных таким образом ключей потребуется около недели.

Биткойн-ходлерам с такими адресами рекомендуется создать новые кошельки с помощью современных инструментов и перенести на них средства для предупреждения возможных брутфорс атак.

Конечно, не застрахованы от уязвимости и более современные методы хранения криптовалюты. Так, в этом месяце также стало известно, что 15-летний подросток нашел уязвимость в аппаратном кошельке Ledger.

Подписывайтесь на Bitnovosti в telegram!

Делитесь вашим мнением об этой новости в комментариях ниже.

Источник



Categories: Без рубрики, Безопасность, Кошельки, Криптография, Новости, Финансы

Tags: , , , , , , , ,

Leave a Reply

3 Комментарий на "Уязвимость функции JavaScript может представлять опасность для биткойн-ходлеров"

  Subscribe  
Notify of
Сам не в курсе
Гость

.Могли бы — украли

Второй
Гость

Может, это лажа? Я генерировал в bitaddress.org

anon
Гость

Диву даюсь с людей, генерящих свои ключи в онлайн…
Или вы проверяете весь JavaScript-код, который это делает, на предмет передачи ваших данных в инет и надёжность генераторов случайных чисел? Кстати, там же ещё и ваш IP может передаваться.
Да и вообще, проводить столь интимную процедуру в *браузере*, который дыряв просто по определению…
Мда.
Потом будут кричать, что «биткоин небезопасен!», когда у них уведут их крипту.
Странные люди.