Из-за уязвимости BitcoinPaperWallet у пользователей украли более $6 млн в криптовалюте

Злоумышленник, имеющий доступ к серверной части сайта, модифицировал программный код, чтобы получить доступ к закрытым ключам пользователей.

В популярном сервисе для создания «бумажных кошельков» BitcoinPaperWallet обнаружен бэкдор, который позволяет злоумышленникам красть активы пользователей. По данным Coindesk, с 2018 года уязвимость позволила преступнику присвоить по крайней мере 124,85 BTC, которые по текущему курсу оцениваются в $6,391 млн.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

  • Бумажный кошелек — это один из способов хранения криптовалюты в автономном режиме. Специальный сервис случайным образом генерирует открытый и закрытый ключи, после чего зашифровывает их в QR-код. Последний можно сохранить в PDF-файле или, при желании, распечатать.
  • Один из пользователей BitcoinPaperWallet рассказал Coindesk, что 7 января 2021 года он создал бумажный кошелек и перевел в него 14,5 BTC, которые на тот момент стоили порядка $500 тыс. Через несколько минут баланс кошелька был опустошен. Некто вывел всю криптовалюты и, использовав разветвленную цепочку транзакций, отправил ее на биржу Binance.
  • Поиск в Google показывает, что со схожей проблемой столкнулись еще как минимум шесть пользователей. По данным Coindesk, злоумышленник выводил активы только с кошельков, на которых хранился хотя бы один bitcoin. С середины 2018 года он похитил не менее 124,85 BTC.
  • Как оказалось, BitcoinPaperWallet отправляет копии закрытых ключей пользователей на свои сервера. Следовательно, тот, кто имеет доступ к серверной части сайта, может завладеть этими ключами и вывести активы. 
  • Более того, BitcoinPaperWallet не использует случайную генерацию чисел. Чтобы создать закрытый ключ, пользователю нужно было хаотично двигать мышкой — таким образом якобы формировалась случайная комбинация цифр, которая затем перемножалась на тестовый ключ. Однако на самом деле сервис игнорировал случайную комбинацию пользователя, а за закрытый выдавал тестовый ключ.
  • Примечательно, что в коде BitcoinPaperWallet, который в открытом доступе опубликован на GitHub, данной уязвимости нет. Это значит, что кто-то умышленно модифицировал программный код, чтобы иметь возможность красть ключи пользователей сервиса.
← Назад Поделиться:

Рекомендации

Америка раскрыла адреса криптокошельков попавших под санкции россиян

Евгения Лиходей2 мин
Инвестор потерял более $16 млн в Bitcoin, установив старую версию кошелька Electrum

Пользователь мог стать жертвой так называемой «атаки Сивиллы», в ходе которой его вынудили подключиться к подконтрольному хакеру серверу.

Aртем Галунoв3 мин

JPMorgan, Visa и ING пришли к выводу, что bitcoin остается инвестиционным инструментом

Топ-менеджеры организаций считают, что на пути принятия bitcoin в качестве платежного инструмента стоят серьезные барьеры, такие как регуляторные проблемы, волатильность и выскокие транзакционные комиссии.

Aртем Галунoв2 мин

Инвесторы назвали три возможные причины падения курса bitcoin

Отрицательная динамика движения криптовалюты не снизила интерес к ней со стороны участников рынка.

Евгения Лиходей2 мин

США пополнили список заблокированных криптокошельков россиян на фоне ввода новых санкций

В числе организаций, попавших под давление, оказалась Ассоциация свободных исследований и международного сотрудничества (Afric).

Евгения Лиходей3 мин

Страховой гигант AXA Switzerland позволил клиентам оплачивать взносы в bitcoin

Для обработки платежей в bitcoin компания заключила соглашение с криптовалютным брокером Bitcoin Suisse.

Aртем Галунoв2 мин