Mobilny portfel kryptograficzny Edge ogłosił incydent bezpieczeństwa, w wyniku którego wyciekło około 2000 kluczy prywatnych. Firma wezwała użytkowników do aktualizacji do najnowszej wersji Edge Wallet w miarę kontynuowania dochodzenia.
W pilne zawiadomienie 22 lutego Edge odkrył lukę w aplikacji, która mogła spowodować wyciek kluczy prywatnych.
Ze względu na widoczność kluczy na serwerze dzienników Edge luka w zabezpieczeniach naruszyła około 2000 kluczy prywatnych, wysyłając je do infrastruktury Edge.
Według Edge’a stanowi to mniej niż 0.01% przybliżonej całkowitej liczby kluczy utworzonych na platformie.
Firma potwierdziła jednak, że serwery dzienników Edge nie zostały naruszone, a fundusze użytkowników są nadal nienaruszone.
„Wyrywkowa kontrola kilkudziesięciu kluczy prywatnych pokazuje, że w wielu z nich nadal pozostają środki. Dzięki temu stwierdzamy, że nie doszło do szeroko zakrojonego kompromisu w infrastrukturze Edge, który zagroziłby ogromnej większości funduszy na takich kluczach”.
Oświadczenie prasowe krawędzi
Edge powiedział, że atak miał miejsce 20 lutego, a personel został zaalarmowany przez użytkownika, który doświadczył nieautoryzowanej transakcji, która zmiatała środki z ich portfela Bitcoin. Atakujący ukradł tylko bitcoiny (BTC) i pozostawił inne aktywa.
Ponieważ Edge używa indywidualnych głównych kluczy prywatnych dla każdego portfela, firma ustaliła, że tylko klucz prywatny ich portfela bitcoin został naruszony, a nie konto użytkownika.
Edge stwierdził ponadto, że otrzymali tylko kilka skarg użytkowników na brak środków, w wysokości 5 cyfr w USD, co wskazuje, że incydent mógł być ukierunkowanym atakiem na użytkowników.
Zespół odkrył kilka działań, które mogły doprowadzić do luki w zabezpieczeniach kluczy prywatnych. Pierwszym z nich było wybranie przez użytkownika określonych opcji w zakładkach kupna i sprzedaży, co skutkowałoby zalogowaniem zaszyfrowanych danych portfela prywatny klucz na dysk urządzenia.
Drugi dotyczył tego, czy użytkownicy korzystali z funkcji przesyłania dzienników, która wysyłałaby dzienniki do serwerów Edge, w tym klucz prywatny, jeśli wybrano opcje kupna i sprzedaży.
„Kontynuujemy dochodzenie, w tym dogłębną analizę urządzeń, aby ustalić, czy złośliwe oprogramowanie mogło mieć dostęp do niezaszyfrowanych kluczy prywatnych na dysku”.
Oświadczenie prasowe krawędzi
Od tego czasu firma nakłaniała użytkowników do aktualizacji ich najnowszej wersji Edge (v3.3.1), która jest dostępna w Google Play Store, App Store i do bezpośredniego pobrania na ich urządzeniach. .
Nowa wersja, jak powiedzieli, naprawia wszystkie znane luki w zabezpieczeniach związane z kluczami prywatnymi portfela i natychmiast usuwa wszystkie wcześniejsze wylogowania z dysku.
Źródło: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/