Бумажные кошельки для биткоина — это способ «холодного» хранения криптовалюты. Пользователь просто распечатывает открытый и закрытый ключи и может переводить на этот кошелек биткоины для хранения.
Как оказалось, достаточно популярный сайт для генерации бумажных кошельков BitcoinPaperWallet.com оказался уязвимым для внедрения бэкдора, благодаря чему злоумышленники получили доступ к закрытым ключам как минимум некоторых из созданных пользователями кошельков. После поступления биткоинов на эти кошельки хакеры мгновенно их воруют.
Специалисты по компьютерной безопасности рассказали об уязвимости: обычно, при создании кошелька пользователь должен совершать движения мышкой для генерирования случайного ключа. Однако на сайте BitcoinPaperWallet.com злоумышленниками был внедрен метод под названием «test_keys» — при создании генерировалось несколько тестовых ключей, сохраненных на сервере. При завершении создания использовался один из этих ключей, а не сгенерированный пользователем случайный ключ. И у хакеров имелся доступ к этим тестовым ключам.
При этом в оригинальном коде BitcoinPaperWallet, выложенном создателем на портал GitHub, такого метода нет. Соответственно, кто-то специально «модернизировал» код для похищения ключей от кошельков пользователей.
7 января пользователь BitcoinPaperWallet.com под псевдонимом «Nick Wendell» потерял 14.5 BTC. Он создал бумажный кошелек и перевел на него биткоины, но уже через несколько минут они были похищены. Впоследствии биткоины оказались на бирже Binance. По текущему курсу это более $700 000.
«Уже через минуту я понял, что произошло. У меня было чувство, что я падаю с высоты и никак не достигну дна. Помню, я ходил кругами по кухне в шоке», — написал пользователь.
Отметим, что расширение MetaMask для популярных браузеров определяет сайт BitcoinPaperWallet.com как фишинговый и предупреждает о этом пользователя.
«Критически важно, чтобы создание кошелька проходило с помощью доверенного ПО и полностью оффлайн. Важно помнить, что в случае потери закрытого ключа злоумышленники смогут украсть все ваши накопления», — подчеркнул независимый разработчик Биткоина Дастин Деттмер (Dustin Dettmer).
В 2019 году специалисты MyCrypto.com обнаружили уязвимость в генераторе бумажных кошельков Wallet Generator, из-за которой при создании кошельков могли сгенерироваться одни и те же закрытые ключи.