Мобильный крипто-кошелек Edge объявил об инциденте безопасности, в результате которого утекло около 2000 закрытых ключей. Компания призвала пользователей обновиться до последней версии Edge Wallet, поскольку они продолжают свои расследования.
В одном из срочное уведомление 22 февраля Edge обнаружил в приложении уязвимость, из-за которой происходила утечка закрытых ключей.
Из-за видимости ключей на сервере журналов Edge уязвимость скомпрометировала около 2000 закрытых ключей, отправив их в инфраструктуру Edge.
По данным Edge, это составляет менее 0.01% от приблизительного общего количества ключей, созданных на платформе.
Однако компания подтвердила, что серверы журналов Edge не были скомпрометированы и средства пользователей по-прежнему не повреждены.
«Выборочная проверка нескольких десятков приватных ключей показывает, что у многих еще остались средства. Благодаря этому мы констатируем, что не было широкомасштабной компрометации инфраструктуры Edge, которая скомпрометировала бы подавляющее большинство средств на таких ключах».
Заявление для прессы Edge
Эдж сказал, что атака произошла 20 февраля, и персонал был предупрежден пользователем, который испытал несанкционированную транзакцию, в результате которой были выведены средства из его биткойн-кошелька. Злоумышленник украл только биткойн (BTC) и оставили другие активы.
Поскольку Edge использует отдельные главные закрытые ключи для каждого кошелька, компания определила, что был скомпрометирован только закрытый ключ их биткойн-кошелька, а не учетная запись пользователя.
Edge также заявил, что они получили лишь несколько жалоб на отсутствие средств пользователей на сумму менее 5 цифр в долларах США, что указывает на то, что инцидент мог быть целенаправленной атакой на пользователей.
Команда обнаружила несколько действий, которые могли привести к уязвимости в приватных ключах. Во-первых, если бы пользователь выбрал определенные параметры на вкладках покупки и продажи, это привело бы к регистрации зашифрованных данных кошелька. закрытый ключ на диск устройства.
Во-вторых, если пользователи использовали функцию загрузки журналов, которая отправляла журналы на пограничные серверы, включая закрытый ключ, если были выбраны варианты покупки и продажи.
«Мы продолжаем расследование, включая глубокую экспертизу устройства, чтобы определить, могло ли вредоносное ПО иметь доступ к незашифрованным закрытым ключам на диске».
Заявление для прессы Edge
С тех пор компания призвала пользователей обновить свою последнюю версию Edge (v3.3.1), которая доступна в Google Play Store, App Store, а также для прямой загрузки на их веб-сайт.
По их словам, новый выпуск исправляет все известные уязвимости, связанные с закрытыми ключами кошелька, и немедленно удаляет все предыдущие журналы с диска.
Источник: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/