Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.
La société de cybersécurité crypto Unciphered a découvert un bug de portefeuille crypto vieux de dix ans affectant les portefeuilles basés sur un navigateur générés entre 2011 et 2015.
The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).
Le bug peut permettre à des acteurs malveillants de voler jusqu'à 2,1 milliards de dollars dans des portefeuilles sur divers réseaux, notamment Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) et Zcash (ZEC).
Discovering An Ancient Bug
Découverte d'un ancien bug
In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).
Dans une interview avec le Wall Street Journal, l’équipe d’Unciphered a expliqué qu’elle avait accidentellement découvert le bug lors d’une tentative infructueuse de récupérer les 600 000 $ d’un des premiers investisseurs en Bitcoin (BTC) perdus.
The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.
L'entrepreneur Nick Sullivan a créé son portefeuille Bitcoin en 2014 en utilisant le site Web Blockchain.info (renommé depuis Blockchain.com). Plus tard, il a accidentellement perdu l’accès à ses pièces après avoir effacé la mémoire de son ordinateur sans penser à enregistrer la clé privée de son portefeuille.
At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.
À la demande de Sullivan, Unciphered a commencé à rechercher les pièces de monnaie de Sullivan en janvier 2022. Bien qu'ils n'aient finalement pas eu suffisamment d'informations pour les récupérer, ils ont réalisé au cours du processus que le code de Blockchain.info pour créer des clés de portefeuille aléatoires – BitcoinJS – ne constituait pas tous ses portefeuilles. assez aléatoire.
“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”
"BitcoinJS est terriblement détruit jusqu'en mars 2014", a déclaré Eric Michaud, co-fondateur d'Unciphered. "Quiconque l'utilise directement court un risque très élevé d'attaque."
Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.
Un autre site de portefeuille, Dogecoin.info, utilisait également BitcoinJS, laissant de nombreux anciens utilisateurs de Dogecoin exposés à la même vulnérabilité.
Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.
Des affirmations non chiffrées selon lesquelles les portefeuilles créés avant mars 2012 contiennent 100 millions de dollars d'actifs qui pourraient facilement être piratés par un utilisateur d'ordinateur personnel. 50 milliards de dollars supplémentaires sont détenus dans des portefeuilles créés entre cette date et 2015, dont au moins 500 millions de dollars sont vulnérables.
Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.
Les cryptographes ont découvert des failles dans la génération aléatoire de portefeuilles en 2014 et ont amélioré leurs méthodes depuis. Unciphered a déclaré n’avoir découvert aucun portefeuille généré après 2016 souffrant d’un faible caractère aléatoire.
How to Tell Victims?
Comment informer les victimes ?
Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.
Unciphered a rendu public cette vulnérabilité cette semaine, mais avertit discrètement les utilisateurs concernés que leurs actifs sont en danger depuis des mois.
The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.
Le défi consistait à convaincre des millions de victimes de déplacer leurs fonds sans révéler leur vulnérabilité aux voleurs qui, autrement, en tireraient parti pour voler des pièces.
Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.
Unciphered a finalement décidé de se rendre sur le plus grand site chargé de générer de tels portefeuilles, qui pourrait être en mesure d'informer discrètement les utilisateurs concernés. Ce site a fini par être celui utilisé par Sullivan – Blockchain.com.
The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.
Le site a envoyé des e-mails aux détenteurs de plus de 1,1 million de portefeuilles concernés et a trouvé un moyen de mettre automatiquement à jour les portefeuilles de toute personne visitant son site.
“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”
"En matière de cryptographie, vous devez être assez sceptique à l'égard des personnes qui appellent avec quelque chose qui semble dramatique, car il y a tellement d'escrocs", a déclaré le président de Blockchain.com, Lane Kasselman, à propos de l'avertissement d'Unciphered. "On ne savait pas clairement qui ils étaient et quelle en était la portée."
Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.
De nombreux utilisateurs concernés n’ont toujours pas été avertis directement puisque les sites qu’ils ont utilisés pour créer leurs portefeuilles ont désormais fermé leurs portes.
The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.
L'article Old Crypto Wallet Bug met 2,1 milliards de dollars en danger : non chiffré apparaît en premier sur CryptoPotato.