Ошибка в JavaScript-классе привела к генерации уязвимых ключей для криптокошельков
Старые адреса Bitcoin, созданные в браузере или через JavaScript-приложения, могут быть уязвимы. Проблема заключается в том, что сгенерированные ключи не являются случайными.
Специалист по безопасности Дэвид Джерард в своём блоге сообщил, что использующие класс SecureRandom() JavaScript-приложения криптовалют могли генерировать уязвимые ключи. Созданные в браузере пароли также можно взломать.
В чём заключается проблема?
Функция генерирует ключи, которые имеют менее 48 бит энтропии. Затем SecureRandom() запускает номер, полученный через устаревший алгоритм RC4. Это ещё больше снижает количество бит энтропии, а ключ становится более предсказуем.
Уязвимы адреса, созданные с использованием BitAddress до 2013 года, а также Bitcoinjs до 2014 года. Слабые ключи генерируют приложения, использующие версии jsbn.js до 2013 года — они содержат SecureRandom().
В декабре 2017 года у пользователей Reddit украли Bitcoin Cash через сервис рассылки Mailgun. Расследование показало, что злоумышленник взломал аккаунт сотрудника сервиса и через него запрашивал смену паролей.
2К открытий2К показов
Лучшие веб-проекты CodePen 2023 года: карусели, 3D-карты, сили кнопок на все случаи жизни и многое другое. Станут вдохновением для портфолио.
Узнали у мидл и сеньор-разработчиков, почему WebAssembly, который считается "ускоренным JS", так и не стал популярнее классического JS, TypeScript или CoffeeScript за почти десятилетие.
Хотели бы покушать пиццу за миллион? А миллиард? А если в долларах? Узнайте, как американец потратил на пиццу больше $1 млрд.
Рассмотрели 10 лучших фреймворков для JavaScript в 2024 году, чтобы выяснить, какой из них стоит учить больше прочих.