Мобилен криптопаричник Edge објави безбедносен инцидент каде што протекоа околу 2000 приватни клучеви. Компанијата ги повика корисниците да ја ажурираат најновата верзија на Edge Wallet додека ги продолжуваат своите истраги.
Во итно известување на 22 февруари, Edge откри ранливост на апликацијата што ќе протече приватни клучеви.
Поради видливоста на клучевите на серверот за дневници на Edge, ранливоста компромитира приближно 2000 приватни клучеви со испраќање на Edge инфраструктура.
Според Edge, ова изнесува помалку од 0.01% од приближниот вкупен број на клучеви создадени на платформата.
Компанијата, сепак, потврди дека серверите за евиденција на Edge не биле компромитирани и дека корисничките средства се сè уште недопрени.
„Проверката на самото место на неколку десетици приватни клучеви покажува дека на многумина им преостануваат средства. Преку ова, потврдуваме дека немало широк компромис за Edge инфраструктурата што би компромитирала огромно мнозинство средства за таквите клучеви“.
Изјава за печат на Edge
Еџ рече дека нападот се случил на 20 февруари, а персоналот бил предупреден од корисник кој доживеал неовластена трансакција која однела средства од нивниот биткоин паричник. Напаѓачот украл само биткоин (БТК) и остави други средства.
Бидејќи Edge користи индивидуални основни приватни клучеви за секој паричник, компанијата утврди дека само приватниот клуч од нивниот биткоин паричник е компромитиран, а не и сметката на корисникот.
Еџ понатаму изјави дека добиле само неколку поплаки за недостиг на средства од корисниците, што изнесува ниски 5 цифри во УСД, што укажува дека инцидентот можеби бил насочен напад врз корисниците.
Тимот откри неколку дејства кои можеа да доведат до ранливост во приватните клучеви. Првиот беше доколку корисникот избра специфични опции под картичките за купување и продавање, што ќе резултираше со евидентирање на шифрираните паричник приватен клуч на дискот на уредот.
Вториот беше доколку корисниците ја користат функцијата за евиденција за подигнување, која би ги испратила дневниците до серверите на Edge, вклучувајќи го и приватниот клуч, доколку се изберат опциите за купување и продавање.
„Продолжуваме со истрагата, вклучително и форензика на длабоки уреди за да утврдиме дали малициозниот софтвер можеби имал пристап до некриптираните приватни клучеви на дискот“.
Изјава за печат на Edge
Оттогаш компанијата ги повика корисниците да ја ажурираат својата најнова верзија на Edge (v3.3.1), која е достапна на Google Play Store, App Store и директно преземање на нивните .
Новото издание, велат тие, ги поправа сите познати пропусти кои вклучуваат приватни клучеви на паричникот и веднаш ги брише сите претходни логови од дискот.
Извор: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/