Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.

Компания Unciphered, занимающаяся крипто-кибербезопасностью, обнаружила десятилетнюю ошибку в крипто-кошельках, затрагивающую браузерные кошельки, созданные в период с 2011 по 2015 год.

The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).

Эта ошибка может позволить злоумышленникам украсть до 2,1 миллиарда долларов из кошельков в различных сетях, включая Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) и Zcash (ZEC).

Discovering An Ancient Bug

Обнаружение древней ошибки

In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).

В интервью Wall Street Journal команда Unciphered объяснила, что они случайно обнаружили ошибку во время неудачной попытки вернуть 600 000 долларов раннего инвестора в потерянных биткойнах (BTC).

The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.

Предприниматель Ник Салливан создал свой биткойн-кошелек еще в 2014 году с помощью сайта Blockchain.info (с тех пор переименованного в Blockchain.com). Позже он случайно потерял доступ к своим монетам после того, как очистил память своего компьютера, не забыв записать приватный ключ своего кошелька.

At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.

По запросу Салливана компания Unciphered начала поиск монет Салливана в январе 2022 года. Хотя в конечном итоге им не хватило информации, чтобы вернуть их, в процессе они поняли, что код Blockchain.info для создания случайных ключей кошелька — BitcoinJS — не создает все его кошельки. достаточно случайно.

“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”

«BitcoinJS ужасно распался до марта 2014 года», — сказал соучредитель Unciphered Эрик Мишо. «Любой, кто напрямую его использует, находится на очень высоком уровне риска нападения».

Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.

Другой сайт-кошелек, Dogecoin.info, также использовал BitcoinJS, в результате чего многие старые пользователи Dogecoin подвергались той же уязвимости.

Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.

Unciphered утверждает, что кошельки, созданные до марта 2012 года, содержат активы на сумму 100 миллионов долларов, которые легко могут быть взломаны пользователем домашнего компьютера. Еще 50 миллиардов долларов хранятся в кошельках, созданных в период до 2015 года, из которых как минимум 500 миллионов долларов уязвимы.

Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.

Криптографы обнаружили недостатки в случайности генерации кошельков еще в 2014 году и с тех пор усовершенствовали свои методы. В Unciphered заявили, что не обнаружили ни одного кошелька, созданного после 2016 года и страдающего от слабой случайности.

How to Tell Victims?

Как сообщить жертвам?

Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.

Unciphered сообщила об уязвимости на этой неделе, но уже несколько месяцев тихо предупреждает затронутых пользователей, что их активы находятся под угрозой.

The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.

Задача заключалась в том, чтобы убедить миллионы жертв перевести свои средства, не раскрывая уязвимости ворам, которые в противном случае использовали бы их для кражи монет.

Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.

В конечном итоге Unciphered решила обратиться к крупнейшему сайту, ответственному за создание таких кошельков, которые могли бы дискретно уведомлять затронутых пользователей. В итоге именно этот сайт использовал Салливан — Blockchain.com.

The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.

Сайт разослал электронные письма владельцам более 1,1 миллиона затронутых кошельков и нашел способ автоматически обновлять кошельки всех, кто посещал его сайт.

“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”

«В криптовалюте нужно довольно скептически относиться к людям, которые звонят с чем-то, что звучит драматично, потому что здесь очень много мошенников», — сказал президент Blockchain.com Лейн Кассельман по поводу предупреждения Unciphered. «Было неясно, кто они такие и каковы были масштабы этой деятельности».

Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.

Многие затронутые пользователи до сих пор не были предупреждены напрямую, поскольку сайты, которые они использовали для создания своих кошельков, больше не работают.

The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.

Сообщение «Ошибка старого криптокошелька ставит под угрозу 2,1 миллиарда долларов: Unciphered» впервые появилось на CryptoPotato.