Az Edge mobil kriptopénztárca biztonsági incidenst jelentett be, amelynek során körülbelül 2000 privát kulcs szivárgott ki. A vállalat arra kérte a felhasználókat, hogy frissítsenek az Edge Wallet legújabb verziójára, miközben tovább folytatják vizsgálataikat.
Egy sürgős értesítés február 22-én az Edge egy biztonsági rést fedezett fel az alkalmazásban, amely kiszivárogtatná a privát kulcsokat.
Az Edge naplókiszolgálón lévő kulcsok láthatósága miatt a biztonsági rés körülbelül 2000 privát kulcsot veszélyeztetett azáltal, hogy elküldte azokat az Edge infrastruktúrájába.
Az Edge szerint ez kevesebb, mint 0.01%-a a platformon létrehozott kulcsok hozzávetőleges számának.
A vállalat azonban megerősítette, hogy az Edge naplószervereket nem sértették fel, és a felhasználói alapok továbbra is érintetlenek.
„Több tucat privát kulcs szúrópróbaszerű ellenőrzése azt mutatja, hogy sokuknál még mindig van pénz. Ezzel megbizonyosodunk arról, hogy nem történt olyan átfogó kompromisszum az Edge infrastruktúrával kapcsolatban, amely veszélyeztette volna az ilyen kulcsokra fordított források túlnyomó részét.”
Edge sajtónyilatkozata
Edge elmondta, hogy a támadás február 20-án történt, és a személyzetet egy felhasználó riasztotta, aki olyan jogosulatlan tranzakciót tapasztalt, amely pénzt söpört ki a Bitcoin pénztárcájából. A támadó csak bitcoint lopott (BTC) és egyéb eszközöket hagyott hátra.
Mivel az Edge minden pénztárcához egyedi fő privát kulcsot használ, a vállalat megállapította, hogy csak a bitcoin pénztárcájának privát kulcsát sértették fel, a felhasználói fiókot nem.
Az Edge továbbá kijelentette, hogy csak néhány panasz érkezett hozzájuk, hogy a felhasználók pénzhiányt szenvedtek el, ami USD-ben alacsony, 5 számjegyű, ami arra utal, hogy az incidens célzott támadás lehetett a felhasználók ellen.
A csapat felfedezett néhány olyan műveletet, amelyek a privát kulcsok sebezhetőségéhez vezethettek. Az első az volt, ha a felhasználó kiválasztott bizonyos opciókat a vételi és eladási lapok alatt, ami a pénztárca titkosított naplózását eredményezte volna. magánkulcs a készülék lemezére.
A második az volt, ha a felhasználók a feltöltési naplók szolgáltatást használták, amely elküldi a naplókat az Edge-szervereknek, beleértve a privát kulcsot is, ha a vételi és eladási opciókat választották.
"Folytatjuk a vizsgálatot, beleértve az eszközök mélyreható kriminalisztikai vizsgálatát is annak megállapítására, hogy a rosszindulatú programok hozzáférhettek-e a lemezen lévő titkosítatlan privát kulcsokhoz."
Edge sajtónyilatkozata
A cég azóta arra kérte a felhasználókat, hogy frissítsék az Edge legújabb verzióját (v3.3.1), amely elérhető a Google Play Store és az App Store áruházból, és közvetlenül letölthető .
Az új kiadás kijavítja a pénztárca privát kulcsait érintő összes ismert sebezhetőséget, és azonnal törli az összes korábbi bejelentkezést a lemezről.
Forrás: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/