آسیب‌پذیری امنیتی Edge Wallet 2000 کلید خصوصی را فاش می‌کند

کیف پول کریپتو موبایل Edge یک حادثه امنیتی را اعلام کرده است که در آن حدود 2000 کلید خصوصی به بیرون درز کرده است. این شرکت از کاربران خواسته است تا در ادامه تحقیقات خود، به آخرین نسخه کیف پول Edge را به روز کنند.

در اطلاعیه فوری در 22 فوریه، Edge یک آسیب‌پذیری را در برنامه کشف کرد که کلیدهای خصوصی را فاش می‌کرد.

اطلاعیه فوری:
ما یک آسیب‌پذیری امنیتی در Edge شناسایی کرده‌ایم که می‌تواند بر زیرمجموعه‌ای از کاربران تأثیر بگذارد.
همه کاربران باید پست وبلاگ لینک زیر را بخوانند و فوراً اقدام کنند:https://t.co/soWkf8U17k
- Edge (@EdgeWallet) فوریه 22، 2023

به دلیل قابل مشاهده بودن کلیدها در سرور Edge logs، این آسیب پذیری تقریباً 2000 کلید خصوصی را با ارسال آنها به زیرساخت Edge به خطر انداخت.

طبق گفته Edge، این مقدار کمتر از 0.01٪ از تعداد تقریبی کل کلیدهای ایجاد شده روی پلتفرم است.

با این حال، این شرکت تأیید کرد که سرورهای ورود به سیستم Edge به خطر نیفتاده اند و وجوه کاربر هنوز دست نخورده است.

بررسی دقیق چند ده کلید خصوصی نشان می دهد که بسیاری از آنها هنوز وجوه باقی مانده دارند. از این طریق، ما مطمئن می‌شویم که مصالحه گسترده‌ای در مورد زیرساخت‌های Edge وجود نداشته است که اکثریت قریب به اتفاق منابع مالی این کلیدها را به خطر بیندازد."
بیانیه مطبوعاتی لبه

Edge گفت که حمله در 20 فوریه رخ داد و کارکنان توسط کاربری که با یک تراکنش غیرمجاز مواجه شد که وجوه را از کیف پول بیت کوین آنها خارج کرد، آگاه شدند. مهاجم فقط بیت کوین را دزدید (BTC) و دارایی های دیگر را به جا گذاشت.

از آنجایی که Edge از کلیدهای خصوصی اصلی جداگانه برای هر کیف پول استفاده می کند، این شرکت تشخیص داد که فقط کلید خصوصی کیف پول بیت کوین آنها به خطر افتاده است و نه حساب کاربر.

Edge همچنین اظهار داشت که آنها فقط چند شکایت از کمبود وجوه توسط کاربران دریافت کرده‌اند که به رقم پایین 5 دلار می‌رسد، که نشان می‌دهد این حادثه ممکن است یک حمله هدفمند به کاربران بوده باشد.

این تیم اقداماتی را کشف کرد که می‌توانست منجر به آسیب‌پذیری در کلیدهای خصوصی شود. اولین مورد این بود که اگر کاربر گزینه‌های خاصی را در زیر برگه‌های خرید و فروش انتخاب کند، که منجر به ثبت اطلاعات رمزنگاری شده کیف پول می‌شد. کلید خصوصی روی دیسک دستگاه

مورد دوم این بود که کاربران از ویژگی گزارش‌های آپلود استفاده می‌کردند، که در صورت انتخاب گزینه‌های خرید و فروش، گزارش‌ها را به سرورهای Edge از جمله کلید خصوصی ارسال می‌کرد.

ما در حال ادامه تحقیقات از جمله پزشکی قانونی دستگاه عمیق هستیم تا مشخص کنیم آیا بدافزار ممکن است به کلیدهای خصوصی رمزگذاری نشده روی دیسک دسترسی داشته باشد یا خیر.
بیانیه مطبوعاتی لبه

از آن زمان این شرکت از کاربران خواسته است تا آخرین نسخه Edge (نسخه 3.3.1) خود را به روز کنند که در فروشگاه Google Play، App Store و دانلود مستقیم در آنها موجود است. سایت اینترنتی.

آنها گفتند که نسخه جدید تمام آسیب پذیری های شناخته شده مربوط به کلیدهای خصوصی کیف پول را برطرف می کند و بلافاصله همه گزارش های قبلی از دیسک را حذف می کند.

ما را در Google News دنبال کنید

منبع: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/