هشدار: کشف آسیبپذیری در سایت تولید کیف پول کاغذی!
اخیراً یک آسیبپذیری جدی در یکی از سایتهای تولید کنندهی کیف پول کاغذی شناسایی شده که گفته میشود در برخی موارد کلیدهای خصوصی یکسانی را به چند کاربر میداده است.
به گزارش خبرگزاری کوین دسک، هری دنلی (Harry Denley)، یکی از محققان ارشد کیف پول، تحلیل دقیقی از یک سایت تولید کنندهی کیف پول کاغذی به آدرس WalletGenerator.net را منتشر ساخته و در آن به اشکالات زیادی از آن اشاره کرده است.
مبنای این تحلیل، کد منبعباز اصلی سایت WalletGenerator.net بوده است. تا تاریخ ۱۷ آگوست ۲۰۱۸ (۲۶ مرداد ۹۷)، کد موجود روی این سایت با کد منبعباز پروژه همخوانی داشته و از یک تکنیک و الگوریتم مشخص برای تولید کیف پولهای تصادفی، استفاده شده است. در نتیجهی این الگوریتم، کیف پول منحصر به فردی به هر فرد ارائه میشد. اما از آن تاریخ به بعد، گاهی اوقات کد منبع و کد موجود در سایت با هم همخوانی نداشتهاند.
در نتیجهی این عدم همخوانی، احتمال ارائهی کلیدهای یکسان به چندین کاربر، افزایش پیدا کرده بود. برای آزمایش این موضوع، دنلی، کد ایجاد کیف پول این سایت را به دفعات زیاد اجرا و به نتایج عجیبی دست پیدا کرد. او گفت:
برای بررسی این کد از زوایای مختلف، از تولید کنندهی Bulk Wallet برای ایجاد هزار کلید خصوصی استفاده کردیم. با استفاده از سورس اصلی در سایت گیتهاب، همانطور که انتظار میرفت هزار کلید خصوصی یکتا به دست آوردیم.
با این حال، در بازهی زمانی ۱۸ تا ۲۳ می ۲۰۱۹، وقتی که از کد موجود در سایت استفاده میکردیم، برخی اوقات تنها ۱۲۰ کلید منحصر به فرد در هر بار به دست آوردیم.
با آن که این عملکرد عجیب از تاریخ ۲۴ می (۳ خرداد) تا کنون دیگر مشاهده نشده، اما ممکن است هر زمانی دوباره اتفاق بیفتد. وی افزود:
ما همچنان در حال بررسی این مورد مشکوک هستیم و به کاربرانی که از تاریخ ۱۷ آگوست ۲۰۱۸ به بعد، با استفاده از این سایت، کلید خصوصی و عمومی ایجاد کردهاند توصیه میکنیم که داراییهای خودشان را به جای دیگری منتقل کنند. حتی اگر کد این سایت در حال حاضر دیگر آسیبپذیر نباشد، توصیه نمیکنیم که از آن برای ایجاد کیف پول استفاده کنید.
در هر صورت، این محقق توصیه میکند که داراییهایتان را از کیف پول کاغذی تولید شده در WalletGenerator به جای دیگری منتقل کنید. از آن جایی که راهی برای تماس با دو گردانندهی این سایت وجود ندارد، توصیه میکنیم که فعلا از این سایت استفاده نکنید.
سلام. آیا برای هر رمز ارز باید کیف پول کاغذی (برای کسی که میخواد از کیف پول کاغذی استفاده بکنه برای سرمایه گذاری) مخصوص خودشو تهیه کرد؟؟؟. مثلا کیف پول کاغذی بیت کوین، صرفا برای همین رمز ارز هست؟؟ و برای هر رمز ارز دیگه باید کیف پول کاغذی خودشو تهیه کرد؟