Павло Кот

Тисячі криптогаманців у шести блокчейнах під загрозою зламу через вразливість Ill Bloom

Тисячі криптогаманців у шести блокчейнах під загрозою зламу через вразливість Ill Bloom
Вразливість Ill Bloom

Дослідники виявили вразливість, яка може зачепити тисячі криптовалютних гаманців у кількох блокчейнах. Згідно з їхніми висновками, зловмисники вже викрали понад $5 млн з кінця травня, експлуатуючи слабкі місця в тому, як деякі гаманці генерують seed-фрази.

Ця стаття була перекладена з оригіналу. Читайте оригінальну версію від нашого кореспондента тут.

Згідно зі звітом Coinspect, вразливість Ill Bloom вражає гаманці в мережах Bitcoin, Ethereum, Polygon, Rootstock, Tron та Solana.

Проблема виникає через недостатню ентропію під час генерації seed-фрази в певних програмних гаманцях. Оскільки деякі додатки покладаються на небезпечний генератор псевдовипадкових чисел, зловмисники можуть підібрати приватні ключі методом brute-force та отримати доступ до коштів користувачів.

У Coinspect заявили, що вразливість насамперед стосується менш відомих мобільних криптогаманців, розроблених з 2018 року. Згідно з аналізом фірми, апаратні гаманці та більшість сучасних програмних гаманців не постраждали.

Викрадено понад $5 млн

Coinspect повідомила, що приховує технічні деталі експлойту, щоб уникнути полегшення повторних атак. Замість цього компанія випустила інструмент, який дозволяє користувачам перевірити, чи перебуває адреса їхнього гаманця під загрозою.

За даними дослідників, 27 травня зловмисники зламали 431 з 2114 відомих вразливих гаманців, викравши близько $3,1 млн. Ще $2 млн було виведено з додаткових скомпрометованих адрес у неділю.

Фірма з безпеки блокчейнів SlowMist заявила, що уважно стежить за ситуацією та оцінює потенційний вплив нещодавно виявленої вразливості.

Подібні проблеми виникали й раніше

Дослідники зазначили, що схожі недоліки вже раніше наражали користувачів криптовалютних гаманців на ризики безпеки.

У 2023 році дослідники Ledger виявили вразливість у розширенні браузера Trust Wallet, яка теоретично могла дозволити зловмисникам підібрати seed-фрази. Проблему було усунуто до того, як з'явилися повідомлення про крадіжку коштів користувачів.

Тим часом Sovright нещодавно представила Argos — інструмент відновлення, який дозволяє колишнім користувачам ZEC Wallet Lite повернути доступ до активів, що стали недоступними після припинення підтримки гаманця у 2022 році.

Раніше Ledger запустила свій новий додаток Ledger Wallet, що поєднує купівлю, продаж, обмін та стейкінг криптовалют на єдиній платформі. Компанія заявила, що прагне зробити додаток повноцінною альтернативою традиційним програмним гаманцям.

Цей матеріал може містити думки третіх сторін, жодні дані та інформація на цій веб-сторінці не є інвестиційною порадою згідно з нашим Застереженням. Хоча ми дотримуємося суворої Редакційної неупередженості, цей пост може містити посилання на продукти наших партнерів.