Мобилният крипто портфейл Edge обяви инцидент със сигурността, при който са изтекли около 2000 частни ключа. Компанията призова потребителите да актуализират до най-новата версия на Edge Wallet, докато продължават разследванията си.
В спешно известие на 22 февруари Edge откри уязвимост в приложението, която може да изтече частни ключове.
Поради видимостта на ключовете на сървъра за регистрационни файлове на Edge, уязвимостта компрометира приблизително 2000 частни ключа, като ги изпрати до инфраструктурата на Edge.
Според Edge това възлиза на по-малко от 0.01% от приблизителния общ брой ключове, създадени на платформата.
Компанията обаче потвърди, че Edge log сървърите не са били компрометирани и че потребителските средства все още са непокътнати.
„Проверката на място на няколко десетки частни ключове показва, че много от тях все още имат оставащи средства. Чрез това ние се уверяваме, че не е имало широкообхватен компромис на инфраструктурата на Edge, който би компрометирал по-голямата част от средствата на такива ключове.“
Изявление за пресата на Edge
Edge каза, че атаката е извършена на 20 февруари и персоналът е бил предупреден от потребител, който е претърпял неоторизирана транзакция, която е изхвърлила средства от техния биткойн портфейл. Нападателят е откраднал само биткойни (BTC) и остави други активи.
Тъй като Edge използва индивидуални главни частни ключове за всеки портфейл, компанията установи, че само частният ключ на техния биткойн портфейл е бил компрометиран, а не акаунтът на потребителя.
Освен това Edge заяви, че са получили само няколко оплаквания за липсващи средства на потребители, възлизащи на ниски 5 цифри в USD, което показва, че инцидентът може да е бил целенасочена атака срещу потребителите.
Екипът откри няколко действия, които биха могли да доведат до уязвимост в частните ключове. Първият беше, ако потребителят избере конкретни опции под разделите за покупка и продажба, което би довело до регистриране на криптирания портфейл частен ключ върху диска на устройството.
Второто беше, ако потребителите използват функцията за качване на регистрационни файлове, която ще изпрати регистрационните файлове до Edge сървърите, включително частния ключ, ако са избрани опциите за покупка и продажба.
„Продължаваме разследването, включително дълбока криминалистика на устройства, за да определим дали злонамереният софтуер може да е имал достъп до некриптираните частни ключове на диска.“
Изявление за пресата на Edge
Оттогава компанията призова потребителите да актуализират най-новата си версия на Edge (v3.3.1), която е налична в Google Play Store, App Store и директно изтегляне от техните уебсайт.
Новата версия, казаха те, коригира всички известни уязвимости, включващи частни ключове на портфейла, и незабавно изтрива всички предишни влизания от диска.
Източник: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/