  |
Za poslednú hodinu: 38 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Pondelok, 2. marca 2026, dnes má meniny Anežka |
|
Kradnúť BTC pre zlé náhodné čísla možné aj z populárnej webovej Bitcoin peňaženky
V utorok to potvrdil autor tejto peňaženky Ben Reeves spolu so zverejnením opravenej verzie. Problémy v Blockchain.info sú rovnakého typu ako problémy odhalené v Android Bitcoin peňaženkách, ktoré boli spôsobené zraniteľnosťami priamo v Androide. V prípade webovej verzie Blockchain.info sú ale spôsobené úplne inou príčinou. Služba Blockchain.info poskytuje tzv. hybridnú Bitcoin peňaženku, keď jej obsah, privátne kľúče k užívateľovým Bitcoin adresám, sú uložené na serveroch služby iba šifrované algoritmom AES. S kľúčmi a peňaženkou pracuje pri využívaní webovej verzie iba klient, JavaScript aplikácia priamo na webe respektíve dostupná cez rozšírenie pre Firefox, Chrome alebo ako klient pre OS X. Ako ale potvrdil Reeves, v JS aplikácii mohlo prísť k nedostatočne kvalitnej inicializácii generátora náhodných čísel. To mohlo v niektorých prehliadačoch viesť k viacnásobnému získaniu a použitiu rovnakého náhodného čísla K pri podpise Bitcoin transakcií. Ako sme detailne vysvetľovali v článku o zraniteľnostiach v Androide a Bitcoin čítačkách, podpísanie dvoch prevodov odchádzajúcich z jednej adresy rovnakým náhodným číslom K v algoritme ECDSA použitom v Bitcoine vedie k prezradeniu privátneho kľúča pre danú adresu. K tomu podľa Reevesa reálne prišlo a prostriedky boli ukradnuté, adries ku ktorým boli kľúče prezradené vďaka chybe vo webovom rozhraní Blockchain.info bolo podľa autora ale málo. Užívateľov, ktorí sa stali obeťami krádeže Bitcoinov kvôli tejto chybe, služba podľa tvorcu plne odškodní. Koľko presne adries bolo prezradených kvôli tejto chybe a koľko prostriedkov bolo ukradnutých nie je jasné. Len na jednu adresu, na ktorú boli prevádzané prostriedky z kompromitovaných adries použitím rovnakých náhodných čísiel, bolo do dnešného dňa prevedených ukradnutých 59.3 BTC. Medzi týmito prostriedkami sa podľa dostupných informácií nachádzajú Bitcoiny z adries kompromitovaných chybami v Androide aj chybou v Blockchain.info. Užívateľom webovej peňaženky Blockchain.info, ktorí používajú čisto webovú verziu, je odporúčané vymazať si cache prehliadača. Užívatelia Chrome rozšírenia sa majú ubezpečiť, že používajú najnovšiu verziu 2.85, Firefox rozšírenia verziu 1.95 a klienta pre OS X verziu 0.11. Tvorca presunutie prostriedkov na novú adresu v oznámení neodporúčal, keď z adries kompromitovaných chybou boli zrejme už prostriedky ukradnuté. To zároveň môže potenciálne naznačovať, že stále detailne nezverejnené zraniteľnosti v Androide mohli mať výrazný dopad aj na bezpečnosť generovaných Bitcoin kľúčov oslabenú týmito zraniteľnosťami. Nové verzie Bitcoin Android aplikácií totiž väčšinou prostriedky automaticky presúvali na nové vytvorené adresy. Najnovšie články: Diskusia:
Pridať komentár | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
