Penyelidik Komputer Menjumpai Kerentanan Wallet yang Memberi Kunci yang Sama Kepada Beberapa Pengguna

Pencipta wallet kertas matawang kripto atas talian WalletGenerator.net sebelum ini menjalankan kod yang menyebabkan pasangan private key/public key yang sama dikeluarkan kepada beberapa pengguna. Kerentanan itu telah digambarkan dalam terbitan blog rasmi oleh penyelidik keselamatan MyCrypto, Harry Denley pada 24 Mei.

Menurut terbitan itu, kod yang rosak itu dilaksanakan pada Ogos 2018, dan hanya diperbetulkan baru-baru ini pada 23 Mei. Kod di laman web itu dilaporkan sepatutnya terbuka dan diaudit di GitHub, tetapi terdapat perbezaan yang didapati antara keduanya. Selepas menyelidiki kod itu, Denley merumuskan bahawa kunci-kunci itu dijana secara deterministic, bukannya secara rawak.

Dallam satu ujian MyCrypto antara Mey 18-23, mereka cuba menggunakan generator di laman web itu untuk membuat 1,000 kunci. Versi GitHub memulangkan 1,000 kunci unik, tetapi kod di laman web itu memulangkan 120 kunci. Menjalankan generator di laman web itu sentiasa memulangkan 120 kunci unik, dan bukannya 1,000 walaupun faktor lain diubah, termasuk browser refresh, penukaran VPN atau penukaran penguna.

Ciri rawak diperlukan untuk menjana pasangan kunci untuk paper wallet menjadi selamat. Seperti dalam terbitan itu:

“ELI5: Apabila menjana kunci, anda mengambil angka yang sangat rawak, tukarkan ia kepada private key, dan tukarkan itu kepada public key/alamat. Namun begitu, jika angka yang ‘sangat rawak’ adalah sentiasa ‘5’, private key yang dijana akan sentiasa sama. Oleh sebab itu ia sangat penting bahawa angka sangat rawak itu betul-betul rawak…bukannya ‘5’.”

WalletGenerator membetulkan masalah determinism itu selepas MyCrypto menghubunginya semasa dalam penyiasatan. WalletGenerator kononnya memberi respon selepas itu bahawa dakwaan itu tidak boleh disahkan, Malah bertanya sama ada MyCrypto adalah “laman web phishing”.

MyCrypto menambah bahawa pengguna yang menjana pasangan kunci selepas 17 Ogos 2018 patut memindahkan dana mereka ke dalam wallet lain serta merta dan merekomen untuk tidak menggunakan lagi WalletGenerator.

Sumber:

https://cointelegraph.com/news/computer-researcher-finds-wallet-vulnerability-that-gave-same-key-to-multiple-users

===

Jika anda mahu berdiskusi dan bertanya tentang bitcoin, matawang kripto (cryptocurrency) dan teknologi blockchain di Malaysia. Anda dijemput bersama-sama komuniti Bitcoin Malaya di FB dan @CoinDotMy di Telegram. Jangan lupa ikuti kami di Twitter dan Instagram!