Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.

The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).

이 버그로 인해 악의적인 행위자가 Bitcoin(BTC), Dogecoin(DOGE), Litecoin(LTC) 및 Zcash(ZEC)를 포함한 다양한 네트워크의 지갑에서 최대 21억 달러를 훔칠 수 있습니다.

Discovering An Ancient Bug

고대 버그 발견

In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).

The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.

기업가 Nick Sullivan은 2014년에 Blockchain.info 웹사이트(이후 Blockchain.com으로 이름 변경)를 사용하여 비트코인 ​​지갑을 만들었습니다. 나중에 그는 지갑의 개인 키를 기록하는 것을 기억하지 않고 컴퓨터의 메모리를 지운 후 실수로 코인에 액세스할 수 없게 되었습니다.

At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.

“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”

Unciphered 공동 창업자인 Eric Michaud는 “BitcoinJS는 2014년 3월까지 완전히 해체되었습니다.”라고 말했습니다. "직접 사용하는 사람은 공격 위험이 매우 높습니다."

Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.

Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.

Unciphered는 2012년 3월 이전에 만들어진 지갑에 가정용 컴퓨터 사용자가 쉽게 해킹할 수 있는 1억 달러 규모의 자산이 포함되어 있다고 주장합니다. 그때부터 2015년 사이에 생성된 지갑에는 또 다른 500억 달러가 보관되어 있으며, 이 중 최소 5억 달러가 취약합니다.

Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.

How to Tell Victims?

피해자에게 어떻게 알릴 것인가?

Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.

The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.

문제는 수백만 명의 피해자들이 코인을 훔치기 위해 이를 활용하는 도둑들에게 취약성을 드러내지 않고 자금을 이동하도록 설득하는 것이었습니다.

Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.

Unciphered는 궁극적으로 영향을 받는 사용자에게 개별적으로 알릴 수 있는 지갑 생성을 담당하는 가장 큰 사이트로 이동하기로 결정했습니다. 그 사이트는 결국 Sullivan이 사용한 사이트인 Blockchain.com이 되었습니다.

The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.

“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”

Blockchain.com의 Lane Kasselman 사장은 Unciphered의 경고에 대해 “암호화폐에서는 사기꾼이 너무 많기 때문에 극적으로 들리는 것으로 전화하는 사람들에 대해 상당히 회의적이어야 합니다.”라고 말했습니다. “그들이 누구인지, 그 범위가 무엇인지 불분명했습니다.”

Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.

지갑을 만드는 데 사용한 사이트가 이제 폐업했기 때문에 영향을 받은 많은 사용자는 여전히 직접 경고를 받지 못했습니다.

The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.

오래된 암호화폐 지갑 버그로 인해 21억 달러가 위험에 처해 있습니다: Unciphered가 CryptoPotato에 처음 등장했습니다.