自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

热门纸质钱包应用程序遭遇神秘漏洞侵袭

2019-05-24 15:39:26
收藏

WalletGenerator致命漏洞威胁加密货币安全

漏洞背景

WalletGenerator作为一项提供可打印加密货币公私钥生成的服务,存在一个致命漏洞,可能影响2018年8月17日后使用该网站生成钱包的用户。MyCrypto分析师发现,WalletGenerator在生成公私钥对时的随机化功能已被污染,无法确保加密货币存储的密码学安全性。

漏洞详情

原本应该随机生成的密钥对,现在实际上是从一个静态数据源——WalletGenerator网站上的某个图像——派生而来。这意味着,任何能够访问该图像数据的恶意攻击者都可以轻松重现这些密钥对。MyCrypto安全主管在采访中表示:"这充分说明了所谓的随机性其实并不随机。"

该漏洞的隐蔽性令人惊叹。与常见的恶意密钥生成器不同,这个漏洞不会将生成的密钥发送回服务器,而是将密钥留给用户本身,使得其方法难以追踪。换句话说,只有能够访问这些图像的人——也就是WalletGenerator网站背后的操作者——才能重现这些密钥对。

漏洞处理

值得注意的是,在5月22日联系网站运营商后,这些漏洞被神秘地移除。根据Wayback Machine的存档,该漏洞最初是由去年8月引入的"代码更改"导致的。然而,目前仍无法确定当前的网站所有者是否就是恶意方,或者服务器本身是否不安全,亦或两者兼有。

用户建议

对于受影响的用户,建议立即"创建新的密钥对/钱包,并将资金转移到这个新的安全地址"。同时,MyCrypto也建议用户将资金转移到BitAddress,一个离线冷钱包服务。

影响范围

根据SimilarWeb的数据,WalletGenerator似乎相当受欢迎,每月用户量达到约14万。该服务允许用户将所谓的随机密钥对下载到纸质钱包上,然后进行打印和离线存储。目前,尚未能联系到WalletGenerator以获得其评论。

展开阅读全文
更多新闻