Один из сотрудников MyCrypto обнаружил уязвимость сервиса Wallet Generator. Гарри Денли, специалист по кибербезопасности, провёл тщательный анализ процесса генерации кошельков на WG.
В своём отчёте он указал, что основой для анализа стал открытый исходный код, который раньше никак не отличался от оригинального кода. При таких условиях генерируемые ключи были действительно уникальными. Однако в середине августа прошлого года коды перестали быть идентичными.
Денли считает, что это и спровоцировало неполадки в работе сервиса. «Если раньше при создании 1000 заявок мы получали такое же количество уникальных ключей, то теперь получаем всего 120. С помощью перезапуска страницы и смены локации по VPN можно получить ещё 120 ключей на следующей сессии» – поделился своими наблюдениями исследователь.
Такие результаты дают серьёзные основания полагать, что Wallet Generator иногда выдаёт одинаковые ключи разным клиентам. Поэтому пользоваться этим сервисом не совсем безопасно.
Напоследок Денли посоветовал всем пользователям, получившим здесь ключи после прошлогоднего лета, не рисковать своими деньгами и создать новый кошелёк на более надёжном сервисе.
Исследование проводилось в период с 18-го по 24-е мая. Расхождения в кодах были замечены во все дни, кроме последнего. Несмотря на то, что к концу анализа ситуация стабилизировалась, его авторы не изменили свой вердикт.
«В данный момент коды совпадают и потому не кажутся уязвимыми. Но нет никаких гарантий, что расхождение больше не повторится. Результаты исследования сервиса как минимум подозрительны» – подытожил Гарри Денли.