Мобільний крипто-гаманець Edge оголосив про інцидент із безпекою, під час якого витік близько 2000 закритих ключів. Компанія закликала користувачів оновити до останньої версії Edge Wallet у міру подальших розслідувань.
У термінове повідомлення 22 лютого Edge виявив у додатку вразливість, яка призводила до витоку закритих ключів.
Через видимість ключів на сервері журналів Edge уразливість скомпрометувала приблизно 2000 закритих ключів, надіславши їх до інфраструктури Edge.
За словами Edge, це становить менше 0.01% від приблизної загальної кількості ключів, створених на платформі.
Однак компанія підтвердила, що сервери журналу Edge не були зламані, а кошти користувачів залишаються недоторканими.
«Вибіркова перевірка кількох десятків приватних ключів показує, що у багатьох ще є кошти. Завдяки цьому ми переконалися, що не було широкомасштабного злому інфраструктури Edge, який би скомпрометував переважну більшість коштів на таких ключах».
Заява для преси Edge
Edge сказав, що атака сталася 20 лютого, і співробітники були попереджені користувачем, який зіткнувся з несанкціонованою транзакцією, яка змила кошти з його біткоін-гаманця. Зловмисник вкрав лише біткоіни (БТД) і залишив інші активи.
Оскільки Edge використовує індивідуальні головні приватні ключі для кожного гаманця, компанія визначила, що було зламано лише приватний ключ їх біткойн-гаманця, а не обліковий запис користувача.
Крім того, Edge заявив, що вони отримали лише кілька скарг про зникнення коштів у користувачів на суму 5 цифр у доларах США, що вказує на те, що інцидент міг бути цілеспрямованою атакою на користувачів.
Команда виявила кілька дій, які могли призвести до вразливості в закритих ключах. По-перше, якщо користувач вибирає певні параметри на вкладках «Купівля» та «Продаж», що призведе до реєстрування гаманця в зашифрованому вигляді. приватний ключ на диск пристрою.
По-друге, користувачі використовували функцію завантаження журналів, яка надсилала б журнали на сервери Edge, включаючи приватний ключ, якщо були вибрані варіанти купівлі та продажу.
«Ми продовжуємо розслідування, включаючи глибоку експертизу пристроїв, щоб визначити, чи могло зловмисне програмне забезпечення мати доступ до незашифрованих закритих ключів на диску».
Заява для преси Edge
Відтоді компанія закликала користувачів оновити свою останню версію Edge (v3.3.1), яка доступна в Google Play Store, App Store, а також для прямого завантаження на сайт.
За їхніми словами, новий випуск виправляє всі відомі вразливості, пов’язані з закритими ключами гаманця, і негайно видаляє всі попередні виходи з диска.
Джерело: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/