Пока еще неизвестно, старается ли новый владелец замолчать факт взлома или эксперт умышленно гонит волну.
Тревога: эксперт призывает срочно вывести средства, если был использован ключ с WalletGenerator.net
Эксперт по безопасности из MyCrypto.com Гарри Денли опубликовал подробный анализ бумажного кошелька на сайте WalletGenerator.net.
«Если вы использовали закрытый ключ, сгенерированный на WalletGenerator.net после 17 августа 2018 года, немедленно переведите средства на безопасный адрес»,- с такого призыва начинается статья о результатах исследования.
Что произошло
Произошли изменения в коде, обслуживаемом через WalletGenerator.net, в результате чего пользователям были предоставлены дубликаты пар ключей. Эти сгенерированные пары ключей также потенциально хранились на стороне сервера.
Гарри Денли советует создать новую пару ключ/кошелек и перевести средства на этот новый, безопасный адрес. Некоторые пользователи рекомендуют вводить адрес (в автономном режиме) через https://github.com/pointbiz/bitaddress.org.
Реакция владельца сайта
Денли связался с нынешним владельцем сайта до публикации проведенного исследования и изложил свои выводы в надежде, что владельцы защитят сервер и помогут в расследовании. В ответ они заявили, что не смогли проверить доводы, и предположили, что эксперт MyCrypto посетил фишинговый веб-сайт.
В промежутке между последним тестированием (вечером 22 мая 2019 года) и полученным ответом по электронной почте от нынешнего владельца сайта (полдень, 23 мая 2019 года), код, передаваемый на сайт, был изменен.
Гарри Денли утверждает, что всё ещё не знает, является ли нынешний владелец сайта злоумышленником или сервер небезопасен, или и то, и другое.
По его словам, это по-прежнему выглядит очень подозрительно, он настоятельно рекомендует пользователем создавшим открытые / закрытые пары ключей после 17 августа 2018 года, вывести свои средства. Он не рекомендует использовать WalletGenerator.net в дальнейшем, даже если код на данный момент не уязвим.
Как проверить код
WalletGenerator — это веб-сайт, который генерирует бумажные кошельки для разных криптовалют. Код, предоставляемый WalletGenerator.net, можно проверить здесь: https://github.com/walletgeneratornet/WalletGenerator.net .
Этот проект сменил владельца примерно два года назад. Недавно стало известно, что код, обслуживаемый через URL-адрес WalletGenerator.net, не соответствует коду на GitHub.
В настоящее время неясно, отвечает ли новый владелец за эти изменения кода или сервер был взломан.