Jeżeli używaliście klucza prywatnego wygenerowanego na WalletGenerator.net po 17 sierpnia 2018, natychmiast przenieście środki na inny, bezpieczny adres!
Walletgenerator.net skompromitowany
Papierowy portfel kryptowalut to, co do zasady, jeden z najbezpieczniejszych sposobów przechowywania kryptowalut. Wszem i wobec zwraca się w tym kontekście uwagę na to, aby klucze generować w sytuacji całkowitej izolacji – odłączenia od Internetu. Potwierdza się, że mechanizm webowy generowania adresów Bitcoin może być, jak każdy program komputerowy, podatny na wstrzyknięcie złośliwego kodu.
Wczoraj późnym wieczorem w sieci pojawiła się informacja, jakoby wszystkie papier walety wygenerowane po 17 sierpnia 2018 przez stronę walletgenerator.org zostały skompromitowane na skutek wstrzyknięcia złośliwego kodu.
Co się stało?
Nastąpiły zmiany w kodzie obsługiwanym przez WalletGenerator.net, co spowodowało dostarczenie zduplikowanych par kluczy do użytkowników. Te wygenerowane pary były również potencjalnie przechowywane po stronie serwera.
Autor wpisu informującego o całej sprawie poinformował, ze skontaktował się z właścicielami witryny i po zaraportowaniu całej sprawy otrzymał odpowiedź z pytaniem, czy nie korzysta przypadkiem z jakiejś phisingowej wersji witryny. Niemniej jednak między 22 a 23 maja 2019 zmodyfikowano kod obsługiwany w witrynie i usunięto złośliwą partię kodu.
Ważne: aktualnie nie wiadomo, czy aktualny właściciel witryny sam jest odpowiedzialny za niebezpieczne praktyki czy coś wydarzyło się po stronie serwera. Być może w grę wchodzą obydwa scenariusze. Cała sprawa jest na tyle podejrzana, ze aktualne korzystanie z usług walletgenerator.org może okazać się katastrofalne w skutkach dla waszych środków.
Zmiany kodzie
Zmiany kodu walletgenerator.net w stosunku do wersji open source opublikowanej na GitHub zostały wykryte w skutek wskazania różnic, uruchamiając różnicę między kodem GitHub a kodem serwera. Zauważono (między innymi), że wykonywane jest żądanie XHR, aby pobrać obraz monety. Stało się to dla autorów publikacji podejrzane, ponieważ obraz monety jest już pobrany przez przeglądarkę podczas ładowania strony HTML i nie ma potrzeby ponownego przesyłania żądania.
Po dokonaniu wnikliwej analizy okazało się, że żądanie XHR używa danych obrazu do zaszczepienia funkcji generatora liczb losowych. Przykładowa różnica między fragmentem oryginalnego kodu na bithub a w aplikacji na serwerze produkcyjnym widoczna jest na screenie poniżej. Na czerwono zaznaczono oryginalny kod, na zielono zaś polecenia uruchamiane z poziomu zainfekowanego kodu.
Źródło: tutaj
W telegraficznym skrócie
- Potencjalnie niebezpieczne mogą być środki każdego, kto dokonywał transakcji przy użyciu klucza publicznego/ prywatnego wygenerowanego przez WalletGenerator.net po 17 sierpnia 2018 roku.
- Wstrzykniecie złośliwego kodu dotyczy papierowych portfeli wygenerowanych po 17 sierpnia 2018. Chociaż złośliwe zachowanie nie zostało wykryte od 24 maja 2019 r., w każdej chwili może zostać ponownie wprowadzone!
- Zmiany w kodzie obsługiwanym przez walletgenerator.net spowodowały dostarczenie użytkownikom zduplikowanych par kluczy. Te pary prawdopodobnie były przechowywane po stronie serwera.
Zalecane działanie w tej sytuacji to bezpieczne utworzenie nowej pary kluczy (nowego papierowego portfela) i przeniesienie środków!