مشخص شدن یک آسیب پذیری جدی در یک کیف پول کاغذی

یکی از محققان امنیتی سایت مای کریپتو به نام هری دنلی، تحلیل دقیقی را در مورد سایت کیف پول کاغذی ولت جنریتور(WalletGenerator.net) منتشر کرد.

تا تاریخ 17 آگوست 2018 کد آنلاین با کد متن باز همخوانی داشت و یک کیف پول منحصر به فرد برای کاربر با استفاده از تکنیک کاربر محور، که یک شماره کیف پول منحصر به فرد را به صورت تصادفی تولید می کند، ایجاد می کرد. اما پس از آن گاهی اوقات تطبیق دو کد متوقف می شد.

نتیجه چه بود؟ این احتمال که ولت جنریتور کلیدهای یکسانی را به چند کاربر ارائه دهد. برای آزمایش این احتمال، هری دنلی، تعداد زیادی کیف پول ایجاد کرد و نتایج عجیبی را دریافت کرد.

در این آزمایش که از 18 تا 23 مه سال جاری انجام شد، تلاش کردند که 1000 کلید تولید شود. در نسخه گیت هاب این کیف پول، همانطور که انتظار می رفت 1000 کلید منحصر به فرد در هر بار تلاش ایجاد شد. اما در WalletGenerator.net تنها 120 کلید منحصر به فرد و یکتا ایجاد شد. حتی زمانی که سایر عوامل از جمله بارگذاری مجدد مرورگر یا VPN تغییر داده شد باز هم 120 آدرس یکتا ایجاد شد.

با این حال رفتار عجیبی از روز جمعه(24 مه) تاکنون مشاهده نشده است، اما هر لحظه ممکن است دوباره بازگردد. با این حال این محقق امنیتی گفت:

ما هنوز به این عملکرد بسیار مشکوک هستیم و هنوز هم به کاربرانی که بعد از 17 آگوست جفت کلید خصوصی و عمومی را دریافت کرده اند، برای انتقال سرمایه هایشان هشدار می دهیم. ما استفاده از  WalletGenerator.net را توصیه نمی کنیم. حتی اگر کد دیگر آسیب پذیر نباشد.

در واقع دنلی توصیه می کند که ارز خود را از کیف پول های کاغذی خود در WalletGenerator.net خارج کنید.