Ang mobile crypto wallet Edge ay nag-anunsyo ng insidente sa seguridad kung saan humigit-kumulang 2000 pribadong key ang na-leak. Hinikayat ng kumpanya ang mga user na mag-update sa pinakabagong bersyon ng Edge Wallet habang pinalalawak nila ang kanilang mga pagsisiyasat.
Sa isang agarang paunawa noong Peb. 22, natuklasan ni Edge ang isang kahinaan sa app na maglalabas ng mga pribadong key.
Dahil sa visibility ng mga key sa Edge logs server, nakompromiso ng kahinaan ang humigit-kumulang 2000 pribadong key sa pamamagitan ng pagpapadala sa kanila sa imprastraktura ng Edge.
Ayon kay Edge, mas mababa ito sa 0.01% ng tinatayang kabuuang bilang ng mga key na ginawa sa platform.
Gayunpaman, kinumpirma ng kumpanya na ang mga server ng Edge log ay hindi nakompromiso at ang mga pondo ng gumagamit ay buo pa rin.
“Ipinapakita ng isang spot check ng ilang dosenang pribadong susi na marami pa rin ang may natitirang pondo. Sa pamamagitan nito, tinitiyak namin na walang malawak na kompromiso sa imprastraktura ng Edge na maaaring nakompromiso ang karamihan ng mga pondo sa naturang mga susi."
Edge press statement
Sinabi ni Edge na nangyari ang pag-atake noong Peb. 20, at ang staff ay inalertuhan ng isang user na nakaranas ng hindi awtorisadong transaksyon na nag-swept ng mga pondo mula sa kanilang Bitcoin wallet. Ang umaatake ay nagnakaw lamang ng bitcoin (BTC) at iniwan ang iba pang mga asset.
Dahil gumagamit ang Edge ng mga indibidwal na master private key para sa bawat wallet, natukoy ng kumpanya na ang pribadong key lamang ng kanilang bitcoin wallet ang nakompromiso at hindi ang account ng user.
Sinabi pa ni Edge na nakatanggap lamang sila ng ilang reklamo ng mga user na nawawalan ng pondo, na nagkakahalaga ng mababang 5 figure sa USD, na nagpapahiwatig na ang insidente ay maaaring isang naka-target na pag-atake sa mga user.
Natuklasan ng team ang ilang mga aksyon na maaaring humantong sa isang kahinaan sa mga pribadong key. Ang una ay kung pumili ang isang user ng mga partikular na opsyon sa ilalim ng mga tab na bumili at magbenta, na magreresulta sa pag-log sa naka-encrypt na pitaka pribadong key papunta sa disk ng device.
Ang pangalawa ay kung ginamit ng mga user ang tampok na upload logs, na magpapadala ng mga log sa mga server ng Edge, kasama ang pribadong key, kung napili ang mga opsyon sa pagbili at pagbebenta.
"Kami ay nagpapatuloy sa pagsisiyasat kasama ang malalim na forensics ng device upang matukoy kung ang malware ay maaaring may access sa mga hindi naka-encrypt na pribadong key sa disk."
Edge press statement
Mula noon, hinimok ng kumpanya ang mga user na i-update ang kanilang pinakabagong bersyon ng Edge (v3.3.1), na available sa Google Play Store, App Store, at direktang pag-download sa kanilang website.
Ang bagong release, sinabi nila, ay nag-aayos ng lahat ng kilalang mga kahinaan na kinasasangkutan ng mga pribadong key ng wallet at agad na tinatanggal ang lahat ng mga naunang log sa disk.
Pinagmulan: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/