ארנק קריפטו נייד Edge הכריז על אירוע אבטחה בו הודלפו כ-2000 מפתחות פרטיים. החברה קראה למשתמשים לעדכן לגרסה העדכנית ביותר של ארנק ה-Edge ככל שהם מעודדים את החקירות שלהם.
ב הודעה דחופה ב-22 בפברואר, Edge גילה פגיעות באפליקציה שתדלוף מפתחות פרטיים.
בשל הנראות של מפתחות בשרת היומנים של Edge, הפגיעות פגעה כ-2000 מפתחות פרטיים על ידי שליחתם לתשתית Edge.
לפי Edge, זה מסתכם בפחות מ-0.01% מהמספר הכולל המשוער של מפתחות שנוצרו בפלטפורמה.
עם זאת, החברה אישרה כי שרתי היומן של Edge לא נפגעו וכי כספי המשתמשים עדיין ללא פגע.
"בדיקה נקודתית של כמה עשרות מפתחות פרטיים מראה שלרבים עדיין נותרו כספים. באמצעות זה, אנו מוודאים שלא הייתה פשרה גורפת רחבה של תשתית Edge שהייתה פוגעת ברוב המכריע של הכספים על מפתחות כאלה."
הודעה לעיתונות של אדג'
אדג' אמר שהמתקפה התרחשה ב-20 בפברואר, והצוות קיבל התראה על ידי משתמש שחווה עסקה לא מורשית שגרפה כספים מארנק הביטקוין שלו. התוקף גנב רק ביטקוין (BTC) והשאירו נכסים אחרים.
מכיוון ש-Edge משתמש במפתחות ראשיים פרטיים בודדים עבור כל ארנק, החברה קבעה שרק המפתח הפרטי של ארנק הביטקוין שלהם נפגע ולא החשבון של המשתמש.
עוד ציינו אדג' כי הם קיבלו רק כמה תלונות על משתמשים שחסרו כספים, בהיקף של 5 ספרות נמוכות בדולר ארה"ב, מה שמצביע על כך שייתכן שהתקרית הייתה מתקפה ממוקדת על המשתמשים.
הצוות גילה כמה פעולות שיכולות היו להוביל לפגיעות במפתחות פרטיים. הראשון היה אם משתמש בחר באפשרויות ספציפיות תחת כרטיסיות הקנייה והמכירה, מה שהיה מביא לרישום של הארנק המוצפן מפתח פרטי על הדיסק של המכשיר.
השני היה אם המשתמשים השתמשו בתכונת העלאת יומני, שתשלח את היומנים לשרתי Edge, כולל המפתח הפרטי, אם נבחרו אפשרויות הקנייה והמכירה.
"אנחנו ממשיכים בחקירה כולל זיהוי פלילי עמוק של מכשירים כדי לקבוע אם תוכנות זדוניות קיבלו גישה למפתחות הפרטיים הלא מוצפנים בדיסק."
הודעה לעיתונות של אדג'
מאז החברה קראה למשתמשים לעדכן את הגרסה האחרונה שלהם של Edge (v3.3.1), הזמינה בחנות Google Play, App Store ולהורדה ישירה במכשיר שלהם. אתר אינטרנט.
המהדורה החדשה, אמרו, מתקנת את כל הפגיעויות הידועות הקשורות למפתחות פרטיים של הארנק ומוחקת מיד את כל הדיסקים הקודמים.
מקור: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/