24.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Добрый хакер «взял на хранение» 225 биткоинов

Белый хакер под ником johoe несколько дней назад воспользовался уязвимостью в программном обеспечении кошельков Blockchain и увёл 225 BTC, а сейчас вернул украденные средства. Сам johoe написал, что 8 декабря несколько сотен адресов пострадали от бага в программном обеспечении. «Я взял на себя смелость сохранить некоторые средства с этих кошельков, прежде чем они будут опустошены другими. Если вы сможете убедить меня, что деньги принадлежат вам (подписать сообщение недостаточно, потому что секретные ключи уже скомпрометированы), то я верну средства», — сказал он. Вдобавок, хакер опубликовал 1019 адресов Bitcoin, пострадавших от уязвимости. Сама компания Blockchain сразу признала, что генерация уязвимых секретных ключей началась из-за ошибки штатных программистов, которые 8 декабря 2014 года внесли баг в систему при обновлении. После этого генератор случайных чисел работал таким образом, что сгенерировать секретный ключ мог любой, кто знает связанный с ним открытый ключ. Уязвимость возникала из-за кошельков, сгенерированных с помощью ранее использованных значениях R в формулах, генерирующих случайные числа. Таким образом, хакер мог использовать доступные адреса для вычисления их секретных ключей. Если бы значения R были уникальными, это было бы невозможно. Согласно заявлению Blockchain, проблема затрагивает пользователей, создавших новый адрес кошелька или пересылавших средства с действующих адресов в период существования уязвимости. Проблема наблюдалась всего 2,5 часа, и от неё пострадали лишь 0,0002% пользователей сервиса. Однако, в денежной эквиваленте потери большие, некоторые пользователи потеряли по 100-200 btc, что по текущему курсу равносильно 35-70.000$.