Mobilni kripto novčanik Edge objavio je sigurnosni incident u kojem je procurilo oko 2000 privatnih ključeva. Tvrtka je pozvala korisnike da ažuriraju na najnoviju verziju Edge Wallet-a dok istražuju.
U hitna obavijest 22. veljače, Edge je otkrio ranjivost u aplikaciji koja je mogla otkriti privatne ključeve.
Zbog vidljivosti ključeva na poslužitelju Edge logova, ranjivost je kompromitirala približno 2000 privatnih ključeva slanjem u Edge infrastrukturu.
Prema Edgeu, to iznosi manje od 0.01% od približnog ukupnog broja ključeva kreiranih na platformi.
Tvrtka je međutim potvrdila da Edge log serveri nisu bili ugroženi i da su korisnička sredstva još uvijek netaknuta.
“Provjera na licu mjesta nekoliko desetaka privatnih ključeva pokazuje da mnogi još uvijek imaju preostala sredstva. Time utvrđujemo da nije došlo do opsežnog kompromisa Edge infrastrukture koji bi ugrozio veliku većinu sredstava na takvim ključevima.”
Edge izjava za tisak
Edge je rekao da se napad dogodio 20. veljače, a osoblje je upozorio korisnik koji je doživio neovlaštenu transakciju koja je pobrala sredstva iz njihovog Bitcoin novčanika. Napadač je ukrao samo bitcoin (BTC) i ostavio drugu imovinu.
Budući da Edge koristi pojedinačne glavne privatne ključeve za svaki novčanik, tvrtka je utvrdila da je ugrožen samo privatni ključ njihovog bitcoin novčanika, a ne korisnički račun.
Edge je nadalje izjavio da su primili samo nekoliko pritužbi korisnika u iznosu od pet znamenki u USD, što ukazuje da je incident možda bio ciljani napad na korisnike.
Tim je otkrio nekoliko radnji koje su mogle dovesti do ranjivosti privatnih ključeva. Prvi je bio ako je korisnik odabrao određene opcije pod karticama za kupnju i prodaju, što bi rezultiralo kriptiranim zapisom novčanika privatni ključ na disk uređaja.
Drugi je bio ako su korisnici koristili značajku prijenosa zapisa, koja bi slala zapise na Edge poslužitelje, uključujući privatni ključ, ako su odabrane opcije kupnje i prodaje.
"Nastavljamo istragu uključujući duboku forenziku uređaja kako bismo utvrdili je li zlonamjerni softver možda imao pristup nekriptiranim privatnim ključevima na disku."
Edge izjava za tisak
Tvrtka je od tada pozvala korisnike da ažuriraju svoju najnoviju verziju Edgea (v3.3.1), koja je dostupna u Google Play Storeu, App Storeu i za izravno preuzimanje na njihovim web stranicu.
Novo izdanje, rekli su, popravlja sve poznate ranjivosti koje uključuju privatne ključeve novčanika i odmah briše sve prethodne odjave s diska.
Izvor: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/