Blockchain.info возвращает деньги жертвам кражи Bitcoin

Еще одна ошибка была обнаружена в Bitcoin -кошельке, что привело к краже около 50 биткойнов. На этот раз виноват был веб-кошелек Blockchain.info, и теперь компания предлагает возмещение пользователям, которые потеряли биткойны из-за этой уязвимости.

Популярный сайт Blockchain в первую очередь предлагает рыночные данные и служит основным обозревателем цепочки блоков для валюты Bitcoin . Однако пользователи также могут создавать веб-кошельки для отправки и получения биткоинов. Ошибка заключается в генераторе случайных чисел, который веб-кошелек использует для подписи транзакций Bitcoin . Случайные числа генерируются в веб-браузерах с использованием языка программирования JavaScript. Она была обнаружена в понедельник, когда пользователь Bitcoin сообщили что у него украли 1,8 BTC (около 223 долларов США).

«Средства с других адресов в этом кошельке не пострадали. Это наводит меня на мысли, что Blockchain.info или Firefox могут иметь некоторую уязвимость в генераторе случайных чисел, подобной уязвимости, недавно обнаруженной в Android», — сказал он.

Эта ошибка следует за другой ошибкой генератора случайных чисел.найдено в операционной системе Android ранее в этом месяце. Этот недостаток повлиял на генерацию закрытых ключей для адресов Bitcoin . Повторение случайных чисел позволило злоумышленникам определить закрытые ключи кошельков пользователей, что в свою очередь позволило им завладеть адресами Bitcoin , связанными с этими ключами.

Эта уязвимость затронула несколько клиентов Android (включая клиент Blockchain.info, для которого был выпущен патч). Но эта последняя уязвимость затронула клиент браузера Blockchain.info, его расширения Chrome и Firefox, а также приложение Mac OSX.

В отличие от ошибки Android, эта уязвимость затрагивала только подписание транзакций, а не создание закрытых ключей.подтвержденный Бен Ривз (он же Пиук) из Blockchain на форуме Bitcointalk. Firefox был особенно уязвим к плохому посеву своего генератора случайных чисел, добавил он.

«В отличие от проблемы Android, ГСЧ [генератор случайных чисел], используемый для генерации закрытых ключей, не пострадал, поэтому кошельки не нужно переустанавливать», — сказал Ривз CoinDesk. «Пока ваш клиент обновлен для будущих транзакций, вы не будете подвержены риску».

Blockchain.info уже исправил ошибку. Пользователи должны убедиться, что они используют следующие номера версий клиента:

• Расширение Chrome - v2.85
• Расширение Firefox - v1.97
• Клиент Mac - v0.11

Кроме того, тем, кто использует только веб-кошелек (без плагина), следует очистить кэш браузера перед использованием сайта Blockchain.

Другой пользователь форума сообщил участникам форума из США, что существует возможность правовой защиты черезфедеральные законы против уголовного мошенничества с использованием электронных средств связи.

На вопрос о личности злоумышленника(ов) Ривз подтвердил, что злоумышленник — физическое лицо и что все украденные средства были отправлены на следующий адрес:1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj.

Примечательно, что средства, переведенные на этот счет, также включают средства, украденные у пользователей Android в начале этого месяца, что позволяет предположить, что за кражей биткоинов с использованием обеих уязвимостей может стоять один и тот же человек.

Для тех, кто хочет вернуть потерянные средства, Ривз сказал нам: «Если кто-то думает, что у него украли средства, и это произошло из-за этой ошибки, то весьма вероятно, что монеты были отправлены по указанному выше адресу. Если у них есть сомнения, они могут связаться с[email protected]и я буду расследовать дальше. Пока что было возвращено только несколько BTC ».

Ривз намекнул на проблеск надежды на потерянные средства: «Это зависит от намерений [злоумышленников], но все еще есть вероятность, что они вернут средства». Но преобладающее сообщение таково: T рассчитывайте на это.

Представитель Blockchain.info сообщил, что Ривз выпустил (вышеупомянутые) исправления в течение нескольких часов после обнаружения уязвимости, и добавил: «Это действительно поразительные сроки выполнения».

Список адресов, затронутых ошибками генератора случайных чисел как на Blockchain, так и на Android, былопубликовано на форуме Bitcoin, а также обновлен новыми находками. Он сказал нам: «Если кто-то думает, что его деньги были украдены из-за этого эксплойта, он должен проверить, есть ли его Bitcoin адрес в списке. Если это так, Контакты по адресу:https://blockchain.info/support-desk. Если это не T, то вы не стали жертвой этой атаки.

Вы потеряли биткоины? Вам вернули деньги? Дайте нам знать в комментариях.