WalletGenerator.net 在 2018 年 8 月 17 前,網頁代碼和開源代碼都是匹配的,而在該時間之後,兩套代碼就不一樣了,研究員認爲 WalletGenerator 生成器具備較大風險,建議 8 月 17 後使用該功能的用戶儘快轉移資產。

原文標題:《Researcher Discovers Serious Vulnerability in Paper Crypto Wallet Site》
文章來源:Coindesk
原文作者:John Biggs
翻譯:Beosin 成都鏈安

據 Coindesk UTC 時間 5 月 27 號 17:00 消息,MyCrypto 研究員 Harry Denley 發現 WalletGenerator.net 上的私鑰生成器存在嚴重漏洞,並對 WalletGenerator 的源碼做了詳細分析:2018 年 8 月 17 前網頁源碼和開源代碼都是相匹配的,而且整個錢包生成器系統運用基於實際隨機熵的客戶端技術來生成唯一的錢包。然而,從 2018 年 8 月 17 後的某個時間起,兩套代碼就不一致了。這極可能是網頁版本中存在問題代碼的 WalletGenerator 向許多不同用戶提供了相同的私鑰。MyCrypto 研究員爲驗證此推測做了測試,在生成器上批量生成私鑰,並得到了一些反常結果。

研究員用「塊錢包」生成器生成了 1000 個私鑰。在沒有問題代碼的的 GitHub 開源碼版本下,正如預期,研究員得到了 1000 個互不相同的私鑰。但是,在 WalletGenerator.net 版本下,研究員在 2019 年 5 月 18 至 23 日不同時間段做了多次測試,每次都只得到了 120 個互不相同的私鑰 —— 儘管用了刷新頁面、切換 VPN 地址等排除干擾因素的措施,結果依然如此。雖然在 5 月 24 號,這一反常結果沒有出現,但誰也不保證未來某一時間反常結果會再次出現。

鑑於此,MyCrypto 研究員認爲 WalletGenerator 生成器具備較大風險,不建議用戶繼續使用 WalletGenerator,並建議用戶:如果用過 2018 年 8 月 17 號之後在 WalletGenerator.net 網站上生成的私鑰,請儘快將資產轉移至更安全的地址

來源鏈接:www.coindesk.com