هشدار: کشف آسیب‌پذیری در سایت تولید کیف پول کاغذی!

اخیراً یک آسیب‌پذیری جدی در یکی از سایت‌های تولید کننده‌ی کیف پول کاغذی شناسایی شده که گفته می‌شود در برخی موارد کلیدهای خصوصی یکسانی را به چند کاربر می‌داده است.

به گزارش خبرگزاری کوین دسک، هری دنلی (Harry Denley)، یکی از محققان ارشد کیف پول، تحلیل دقیقی از یک سایت تولید کننده‌ی کیف پول کاغذی به آدرس WalletGenerator.net را منتشر ساخته و در آن به اشکالات زیادی از آن اشاره کرده است.

مبنای این تحلیل، کد منبع‌باز اصلی سایت WalletGenerator.net بوده است. تا تاریخ ۱۷ آگوست ۲۰۱۸ (۲۶ مرداد ۹۷)، کد موجود روی این سایت با کد منبع‌باز پروژه همخوانی داشته و از یک تکنیک و الگوریتم مشخص برای تولید کیف پول‌های تصادفی، استفاده شده است. در نتیجه‌ی این الگوریتم، کیف پولمنحصر به فردی به هر فرد ارائه می‌شد. اما از آن تاریخ به بعد، گاهی اوقات کد منبع و کد موجود در سایت با هم همخوانی نداشته‌اند.

تفاوت کد اصلی موجود در گیت‌هاب و کد در هنگام تولید کیف پول

در نتیجه‌ی این عدم همخوانی، احتمال ارائه‌ی کلیدهای یکسان به چندین کاربر، افزایش پیدا کرده بود. برای آزمایش این موضوع، دنلی، کد ایجاد کیف پول این سایت را به دفعات زیاد اجرا و به نتایج عجیبی دست پیدا کرد. او گفت:

برای بررسی این کد از زوایای مختلف، از تولید کننده‌ی Bulk Wallet برای ایجاد هزار کلید خصوصی استفاده کردیم. با استفاده از سورس اصلی در سایت‌ گیت‌هاب، همان‌طور که انتظار می‌رفت هزار کلید خصوصی یکتا به دست آوردیم.

با این حال، در بازه‌ی زمانی ۱۸ تا ۲۳ می ۲۰۱۹، وقتی که از کد موجود در سایت استفاده می‌کردیم، برخی اوقات تنها ۱۲۰ کلید منحصر به فرد در هر بار به دست آوردیم.

با آن که این عملکرد عجیب از تاریخ ۲۴ می (۳ خرداد) تا کنون دیگر مشاهده نشده، اما ممکن است هر زمانی دوباره اتفاق بیفتد. وی افزود:

ما همچنان در حال بررسی این مورد مشکوک هستیم و به کاربرانی که از تاریخ ۱۷ آگوست ۲۰۱۸ به بعد، با استفاده از این سایت، کلید خصوصی و عمومی ایجاد کرده‌اند توصیه می‌کنیم که دارایی‌های خودشان را به جای دیگری منتقل کنند. حتی اگر کد این سایت در حال حاضر دیگر آسیب‌پذیر نباشد، توصیه نمی‌کنیم که از آن برای ایجاد کیف پول استفاده کنید.

در هر صورت، این محقق توصیه می‌کند که دارایی‌های‌تان را از کیف پول کاغذی تولید شده در WalletGenerator به جای دیگری منتقل کنید. از آن جایی که راهی برای تماس با دو گرداننده‌ی این سایت وجود ندارد، توصیه می‌کنیم که فعلا از این سایت استفاده نکنید.