Dompet crypto mudah alih Edge telah mengumumkan insiden keselamatan di mana kira-kira 2000 kunci peribadi telah dibocorkan. Syarikat itu telah menggesa pengguna untuk mengemas kini kepada versi terkini Edge Wallet semasa mereka meneruskan siasatan mereka.
Dalam notis segera pada 22 Feb, Edge menemui kelemahan pada apl yang akan membocorkan kunci peribadi.
Disebabkan oleh keterlihatan kunci pada pelayan log Edge, kerentanan menjejaskan kira-kira 2000 kunci peribadi dengan menghantarnya ke infrastruktur Edge.
Menurut Edge, ini berjumlah kurang daripada 0.01% daripada anggaran jumlah kunci yang dibuat pada platform.
Syarikat itu, bagaimanapun, mengesahkan bahawa pelayan log Edge tidak terjejas dan dana pengguna masih utuh.
“Pemeriksaan mengejut terhadap beberapa dozen kunci persendirian menunjukkan bahawa masih ramai yang mempunyai baki dana. Melalui ini, kami memastikan bahawa tidak ada kompromi menyeluruh terhadap infrastruktur Edge yang akan menjejaskan sebahagian besar dana pada kunci sedemikian."
Kenyataan akhbar tepi
Edge berkata serangan itu berlaku pada 20 Februari, dan kakitangan dimaklumkan oleh pengguna yang mengalami transaksi tanpa kebenaran yang menyapu dana daripada dompet Bitcoin mereka. Penyerang hanya mencuri bitcoin (BTC) dan meninggalkan aset lain.
Memandangkan Edge menggunakan kunci peribadi induk individu untuk setiap dompet, syarikat menentukan bahawa hanya kunci peribadi dompet bitcoin mereka telah terjejas dan bukan akaun pengguna.
Edge seterusnya menyatakan bahawa mereka hanya menerima beberapa aduan pengguna kehilangan dana, berjumlah 5 angka rendah dalam USD, menunjukkan bahawa insiden itu mungkin merupakan serangan yang disasarkan ke atas pengguna.
Pasukan itu menemui beberapa tindakan yang boleh membawa kepada kerentanan dalam kunci persendirian. Yang pertama ialah jika pengguna memilih pilihan khusus di bawah tab beli dan jual, yang akan mengakibatkan pengelogan dompet yang disulitkan Kunci peribadi ke cakera peranti.
Yang kedua ialah jika pengguna menggunakan ciri log muat naik, yang akan menghantar log ke pelayan Edge, termasuk kunci peribadi, jika pilihan beli dan jual dipilih.
"Kami meneruskan siasatan termasuk forensik peranti dalam untuk menentukan sama ada perisian hasad mungkin mempunyai akses kepada kunci peribadi yang tidak disulitkan pada cakera."
Kenyataan akhbar tepi
Syarikat itu sejak itu menggesa pengguna untuk mengemas kini versi terkini Edge (v3.3.1), yang boleh didapati di Google Play Store, App Store, dan muat turun terus pada mereka. laman web.
Keluaran baharu itu, kata mereka, membetulkan semua kelemahan yang diketahui melibatkan kunci peribadi dompet dan segera memadamkan semua log sebelum daripada cakera.
Sumber: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/