Un chercheur découvre une vulnérabilité grave dans un site de portefeuille crypté en papier

Un chercheur en sécurité de MyCrypto.com, Harry Denley, a publié une analyse détaillée – et accablante – du site de portefeuille papier WalletGenerator.net.

Le cœur de l’analyse repose sur le code source libre original de WalletGenerator, disponible ici. Jusqu'au 17 août 2018, le code en ligne correspondait au code source ouvert et l'ensemble du projet générait des portefeuilles à l'aide d'une technique côté client prenant en compte une véritable entropie aléatoire et produisant un portefeuille unique. Mais quelque temps après cette date, les deux ensembles de code ont cessé de correspondre.

Le résultat? La très réelle possibilité que PortefeuilleGénérateur donne les mêmes clés à plusieurs utilisateurs. Pour tester cela, Chercheur de MyCrypto fait fonctionner le générateur en vrac et a obtenu des résultats étranges.

«En abordant sous un angle différent, nous avons ensuite utilisé le générateur« Bulk Wallet »pour générer 1 000 clés. Dans la version non malveillante de GitHub, nous recevons 1 000 clés uniques, comme prévu.

Cependant, en utilisant WalletGenerator.net à différents moments entre le 18 mai 2019 et le 23 mai 2019, nous n'aurions que 120 clés uniques par session. Actualiser notre navigateur, changer d'emplacement VPN ou demander à une autre partie d'effectuer le même test entraînerait la génération d'un jeu différent de 120 clés. ”

Bien que le comportement étrange n'ait pas été trouvé vendredi dernier (24 mai), il pourrait être de retour à tout moment.

"Nous considérons toujours cela comme hautement suspect et recommandons toujours aux utilisateurs qui ont généré des paires de clés publiques / privées après le 17 août 2018 de transférer leurs fonds", a déclaré la chercheuse. "Nous ne recommandons pas l'utilisation de WalletGenerator.net à l'avenir, même si le code en ce moment n'est pas vulnérable."

Vous pouvez lire le tout signaler ici, mais Denley recommande de retirer des fonds de vos portefeuilles en papier basés sur WalletGenerator. Comme il n’existe pas de moyen clair de contacter les «deux gars au hasard qui s’amusent avec un projet parallèle» qui, apparemment, dirigent le site, nous pouvons sans risque vous recommander d’éviter ce site.

Image de code via Shutterstock

Source

A propos newstrotteur-fr

Découvrez également

«Fluffypony» se penche sur les CBDC à Davos 2020

Riccardo Spagni, plus connu sous le nom de «Fluffypony», Traite de la confidentialité et de …

Laisser un commentaire

Do NOT follow this link or you will be banned from the site!