Из-за уязвимости BitcoinPaperWallet у пользователей украли более $6 млн в криптовалюте

Злоумышленник, имеющий доступ к серверной части сайта, модифицировал программный код, чтобы получить доступ к закрытым ключам пользователей.

В популярном сервисе для создания «бумажных кошельков» BitcoinPaperWallet обнаружен бэкдор, который позволяет злоумышленникам красть активы пользователей. По данным Coindesk, с 2018 года уязвимость позволила преступнику присвоить по крайней мере 124,85 BTC, которые по текущему курсу оцениваются в $6,391 млн.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

  • Бумажный кошелек — это один из способов хранения криптовалюты в автономном режиме. Специальный сервис случайным образом генерирует открытый и закрытый ключи, после чего зашифровывает их в QR-код. Последний можно сохранить в PDF-файле или, при желании, распечатать.
  • Один из пользователей BitcoinPaperWallet рассказал Coindesk, что 7 января 2021 года он создал бумажный кошелек и перевел в него 14,5 BTC, которые на тот момент стоили порядка $500 тыс. Через несколько минут баланс кошелька был опустошен. Некто вывел всю криптовалюты и, использовав разветвленную цепочку транзакций, отправил ее на биржу Binance.
  • Поиск в Google показывает, что со схожей проблемой столкнулись еще как минимум шесть пользователей. По данным Coindesk, злоумышленник выводил активы только с кошельков, на которых хранился хотя бы один bitcoin. С середины 2018 года он похитил не менее 124,85 BTC.
  • Как оказалось, BitcoinPaperWallet отправляет копии закрытых ключей пользователей на свои сервера. Следовательно, тот, кто имеет доступ к серверной части сайта, может завладеть этими ключами и вывести активы. 
  • Более того, BitcoinPaperWallet не использует случайную генерацию чисел. Чтобы создать закрытый ключ, пользователю нужно было хаотично двигать мышкой — таким образом якобы формировалась случайная комбинация цифр, которая затем перемножалась на тестовый ключ. Однако на самом деле сервис игнорировал случайную комбинацию пользователя, а за закрытый выдавал тестовый ключ.
  • Примечательно, что в коде BitcoinPaperWallet, который в открытом доступе опубликован на GitHub, данной уязвимости нет. Это значит, что кто-то умышленно модифицировал программный код, чтобы иметь возможность красть ключи пользователей сервиса.
← Назад Поделиться:

Рекомендации

Инвестор потерял более $16 млн в Bitcoin, установив старую версию кошелька Electrum

Aртем Галунoв3 мин
Америка раскрыла адреса криптокошельков попавших под санкции россиян

Как именно регуляторы получили адреса – неизвестно.

Евгения Лиходей2 мин

Tesla не досчиталась $23 млн на фоне манипуляций Илона Маска на рынке криптовалют

Представители компании рассказали о связанных с цифровыми активами убытках в очередном отчете.

Евгения Лиходей3 мин

Основателя пирамиды Finiko задержали – проект мог отмыть $300 млн через криптовалюту

По оценкам ЦБ, всего пирамида нанесла вкладчикам ущерб на 3 млрд рублей.

Новости3 мин

Необанк для стартапов Mercury стал единорогом

Тем не менее, стартап все еще проводит краудфандинговую кампанию.

Новости2 мин