کیف پول کریپتو موبایل Edge یک حادثه امنیتی را اعلام کرده است که در آن حدود 2000 کلید خصوصی به بیرون درز کرده است. این شرکت از کاربران خواسته است تا در ادامه تحقیقات خود، به آخرین نسخه کیف پول Edge را به روز کنند.
در اطلاعیه فوری در 22 فوریه، Edge یک آسیبپذیری را در برنامه کشف کرد که کلیدهای خصوصی را فاش میکرد.
به دلیل قابل مشاهده بودن کلیدها در سرور Edge logs، این آسیب پذیری تقریباً 2000 کلید خصوصی را با ارسال آنها به زیرساخت Edge به خطر انداخت.
طبق گفته Edge، این مقدار کمتر از 0.01٪ از تعداد تقریبی کل کلیدهای ایجاد شده روی پلتفرم است.
با این حال، این شرکت تأیید کرد که سرورهای ورود به سیستم Edge به خطر نیفتاده اند و وجوه کاربر هنوز دست نخورده است.
بررسی دقیق چند ده کلید خصوصی نشان می دهد که بسیاری از آنها هنوز وجوه باقی مانده دارند. از این طریق، ما مطمئن میشویم که مصالحه گستردهای در مورد زیرساختهای Edge وجود نداشته است که اکثریت قریب به اتفاق منابع مالی این کلیدها را به خطر بیندازد."
بیانیه مطبوعاتی لبه
Edge گفت که حمله در 20 فوریه رخ داد و کارکنان توسط کاربری که با یک تراکنش غیرمجاز مواجه شد که وجوه را از کیف پول بیت کوین آنها خارج کرد، آگاه شدند. مهاجم فقط بیت کوین را دزدید (BTC) و دارایی های دیگر را به جا گذاشت.
از آنجایی که Edge از کلیدهای خصوصی اصلی جداگانه برای هر کیف پول استفاده می کند، این شرکت تشخیص داد که فقط کلید خصوصی کیف پول بیت کوین آنها به خطر افتاده است و نه حساب کاربر.
Edge همچنین اظهار داشت که آنها فقط چند شکایت از کمبود وجوه توسط کاربران دریافت کردهاند که به رقم پایین 5 دلار میرسد، که نشان میدهد این حادثه ممکن است یک حمله هدفمند به کاربران بوده باشد.
این تیم اقداماتی را کشف کرد که میتوانست منجر به آسیبپذیری در کلیدهای خصوصی شود. اولین مورد این بود که اگر کاربر گزینههای خاصی را در زیر برگههای خرید و فروش انتخاب کند، که منجر به ثبت اطلاعات رمزنگاری شده کیف پول میشد. کلید خصوصی روی دیسک دستگاه
مورد دوم این بود که کاربران از ویژگی گزارشهای آپلود استفاده میکردند، که در صورت انتخاب گزینههای خرید و فروش، گزارشها را به سرورهای Edge از جمله کلید خصوصی ارسال میکرد.
ما در حال ادامه تحقیقات از جمله پزشکی قانونی دستگاه عمیق هستیم تا مشخص کنیم آیا بدافزار ممکن است به کلیدهای خصوصی رمزگذاری نشده روی دیسک دسترسی داشته باشد یا خیر.
بیانیه مطبوعاتی لبه
از آن زمان این شرکت از کاربران خواسته است تا آخرین نسخه Edge (نسخه 3.3.1) خود را به روز کنند که در فروشگاه Google Play، App Store و دانلود مستقیم در آنها موجود است. سایت اینترنتی.
آنها گفتند که نسخه جدید تمام آسیب پذیری های شناخته شده مربوط به کلیدهای خصوصی کیف پول را برطرف می کند و بلافاصله همه گزارش های قبلی از دیسک را حذف می کند.
منبع: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/