Uporabnike kripto denarnice je prizadela sumljiva dejavnost, ki jo povzroča mnemonika z nizko entropijo

Storitev kripto denarnice – Klever – je razkrila, da je že znano izkoriščanje, ki ga povzroča mnemonika nizke entropije, prizadelo več uporabnikov. Incident je prvič prišel v javnost, ko so uporabniki v začetku tega tedna prijavili sumljivo dejavnost v svojih denarnicah.

Glede na posodobitev podjetja so algoritem, imenovan Random Generation, ki ga uporablja implementacija Bip39, prej uporabljali številni ponudniki denarnic za kriptovalute. Vendar pa je napaka v algoritmu ogrozila varnost in nepredvidljivost ustvarjenih ključev, zaradi česar so bile denarnice dovzetne za nepooblaščen dostop ali zlonamerne dejavnosti.

• Obravnava incidenta, Klever je dejal vse prizadete denarnice so bile uvožene v Klever Wallet K5.
• Te denarnice prvotno niso bile ustvarjene z uporabo Klever Wallet K5, ampak so bile predhodno izdelane z uporabo zastarele in neučinkovite metode generatorja psevdonaključnih števil (PRNG) kot vir entropije.
• Po navedbah podjetja je bil ta algoritem široko uporabljen v zgodnjih različicah različnih ponudnikov kripto denarnic, ki so temeljile na platformi Javascript.
• Poudarilo je tudi, da lahko tako šibek algoritem PRNG znatno ogrozi varnost in nepredvidljivost ustvarjenih ključev, zaradi česar so lahko bolj ranljivi za napade ali nepooblaščen dostop.

Na platformi Klever so osnovne kode, odgovorne za generiranje entropije in mnemonike, ki uporabljajo algoritem PRNG, implementirane z robustnimi varnostnimi ukrepi in so izvorne v operacijskem sistemu.«

• Klever je dejal, da je incident podoben tistemu, o katerem je v začetku aprila poročala razširitev raziskovalca TrustWallet.
• Družba je uporabnikom, ki trenutno posedujejo stare denarnice, ustvarjene pred Klever Wallet, svetovala, naj nemudoma preidejo na nove, ustvarjene v Klever Wallet K5 ali Klever Safe.
• Začetna preiskava predlagano that the suspicious activity was not exclusive to Klever and that users of multiple wallet providers are affected.