Mobilni kripto novčanik Edge najavio je sigurnosni incident u kojem je procurilo oko 2000 privatnih ključeva. Kompanija je pozvala korisnike da ažuriraju na najnoviju verziju Edge Wallet-a kako dalje istražuju.
u hitno obaveštenje 22. februara, Edge je otkrio ranjivost u aplikaciji koja bi propuštala privatne ključeve.
Zbog vidljivosti ključeva na Edge logs serveru, ranjivost je ugrozila približno 2000 privatnih ključeva slanjem ih u Edge infrastrukturu.
Prema Edge-u, ovo iznosi manje od 0.01% približnog ukupnog broja ključeva kreiranih na platformi.
Kompanija je, međutim, potvrdila da Edge log serveri nisu bili kompromitovani i da su korisnička sredstva i dalje netaknuta.
“Provjera nekoliko desetina privatnih ključeva pokazuje da mnogi još uvijek imaju preostala sredstva. Ovim potvrđujemo da nije došlo do širokog kompromisa Edge infrastrukture koji bi ugrozio ogromnu većinu sredstava na takvim ključevima.”
Edge izjava za štampu
Edge je rekao da se napad dogodio 20. februara, a osoblje je upozorio korisnik koji je doživio neovlaštenu transakciju koja je povukla sredstva iz njihovog Bitcoin novčanika. Napadač je samo ukrao bitcoin (BTC) i ostavio drugu imovinu.
Budući da Edge koristi individualne glavne privatne ključeve za svaki novčanik, kompanija je utvrdila da je kompromitovan samo privatni ključ njihovog bitcoin novčanika, a ne i korisnički račun.
Edge je dalje naveo da su primili samo nekoliko pritužbi korisnika na nedostatak sredstava, u iznosu od niskih 5 cifara u USD, što ukazuje da je incident možda bio ciljani napad na korisnike.
Tim je otkrio nekoliko radnji koje su mogle dovesti do ranjivosti privatnih ključeva. Prvi je bio da korisnik odabere određene opcije pod karticama za kupovinu i prodaju, što bi rezultiralo evidentiranjem šifrovanog novčanika privatni ključ na disk uređaja.
Drugi je bio da su korisnici koristili funkciju otpremanja dnevnika, koja bi slala dnevnike na Edge servere, uključujući privatni ključ, ako su odabrane opcije kupovine i prodaje.
“Nastavljamo istragu uključujući duboku forenziku uređaja kako bismo utvrdili je li zlonamjerni softver možda imao pristup nešifriranim privatnim ključevima na disku.”
Edge izjava za štampu
Kompanija je od tada pozvala korisnike da ažuriraju svoju najnoviju verziju Edge (v3.3.1), koja je dostupna na Google Play Store, App Store, i direktno preuzimanje na njihovim sajt.
Novo izdanje, kako su rekli, popravlja sve poznate ranjivosti koje uključuju privatne ključeve novčanika i odmah briše sve prethodne prijave sa diska.
Izvor: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/