Исследователь в области безопасности из MyCrypto.com Гарри Денли (Harry Denley) опубликовал подробный анализ сервиса для генерации бумажных кошельков Wallet Generator.

Согласно отчету, анализ основывается на открытом исходном коде Wallet Generator, который до 17 августа 2018 года соответствовал оригинальному исходному коду. В рамках проекта кошельки генерировались с использованием клиентского технического оборудования с учетом случайной энтропии, что позволяло создать уникальный кошелек. Однако в какой-то момент два набора кода перестали совпадать.

Как предполагает Денли, существует реальная возможность того, что Wallet Generator предоставляет одни и те же ключи нескольким пользователям. Чтобы проверить это, исследователь неоднократно запускал генератор и получил странные результаты.

«Мы использовали генератор Bulk Wallet для создания 1000 ключей. В обычной версии GitHub мы получили 1000 уникальных ключей, как и ожидалось. Однако, используя WalletGenerator.net в разное время в период с 18 по 23 мая 2019 года, мы получили только 120 уникальных ключей за сессию. Обновление страницы браузера, переключение местоположений в VPN или выполнение другой стороной одного и того же теста привело к созданию другого набора из 120 ключей».

Хотя такое странное поведение генератора не было обнаружено 24 мая, как отмечают исследователи, проблема может появиться вновь в любой момент.

«Мы по-прежнему рассматриваем этот случай как весьма подозрительный, и рекомендуем пользователям, создавшим открытые и закрытые ключи после 17 августа 2018 года, переместить свои средства», – сказал исследователь. «Мы не рекомендуем WalletGenerator.net для дальнейшего использования, даже если код на данный момент не уязвим».

Отметим, что поиск уязвимостей иногда становится весьма прибыльным делом, хотя в случае MyCrypto.com исследователи вряд ли получат какое-то вознаграждение. Недавно стало известно, что с 28 марта «белые хакеры» заработали $32 000 за обнаружение 30 уязвимостей в криптовалютных проектах.