Команда экспертов по кибербезопасности считает, что уязвимость затронет миллиарды долларов и миллионы криптокошельков, созданных с 2011 по 2015 годы.
Проблема была обнаружена более года назад, когда команда Unciphered работала над получением доступа к заблокированному биткоин-кошельку в интересах некоего своего клиента. Было установлено: ошибка в функции SecureRandom биткоин-библиотеки с открытым исходным кодом BitcoinJS на JavaScript потенциально может повлиять на все кошельки, созданные BitcoinJS и производными проектами, включая кошельки Bitcoin, Dogecoin, Litecoin и Zcash.
«Цепочка уязвимостей сочетает в себе функцию SecureRandom со слабыми местами, существовавшими в основных реализациях Math.random в браузерах. В результате приватные ключи биткоин-кошельков могли быть сгенерированы с меньшим количеством энтропии, чем необходимо. Это делает их более уязвимыми для хакерских атак. В случае, если обнаружится, что программное обеспечение создавало уязвимые кошельки, единственным решением будет перемещение активов пользователей в новые криптокошельки», – заявили в Unciphered.
Команда Unciphered уверяет, что работает над устранением последствий уязвимости последние 22 месяцев, а публичное раскрытие информации было крайне дозировано из-за опасности привлечения внимания злоумышленников. Кроме этого, в координации с несколькими организациями экспертам Unciphered удалось идентифицировать и уведомить разработчиков криптовалютных кошельков, которые были активны с 2011 по 2015 год, и попросить их, если возможно, предупреждать клиентов.
Ранее аналитики по кибербезопасности из компаний Zscaler и Cyfirma предупредили пользователей криптокошельков о появлении нового вируса под названием Mystic Stealer, который похищает пароли и ключи доступа.