Tuesday , 13 November 2018

В Android гаманці NANO виявлена ​​уразливість

NANO, перейменований з RaіBlocks в січні 2018 року, випустив заяву, яка попереджає користувачів про уразливість в їх android гаманці. 21 червня розробники звернулися до користувачів із закликом перемістити кошти в гаманець з іншою сід-фразою:

Це відноситься до всіх, хто створив сід-фразу гаманця за допомогою android гаманця NANO.

Проблема пов’язана з використанням класу Random.java, який використовується для генерації потоку криптографічно безпечних псевдовипадкових чисел. Команда розробників, схоже, не звернула на це уваги, і важливо відзначити, що це питання раніше не був виявлено.

Згідно посту CEO Nanex на reddit, випадковий метод використовує комбінацію поточного часу і адреса пам’яті пристрою класу java.util.Random.

Код генерує 64 випадкових числа, перетворює їх в шістнадцятковий формат і потім використовує перші 64 символу з результату. Можливе виправлення буде використовувати метод SecureRandom, який набагато безпечніше і рекомендується відповідно до офіційних документів java.

У java-документах явно зазначено наступне:

«Примірники java.util.Random не є криптографічно безпечними. Замість цього використовуйте SecureRandom для отримання криптографічно безпечного генератора псевдовипадкових чисел для використання чутливими до безпеки додатками ».

До зриву вашого гаманця NANO може привести шкідливий процес на вашому телефоні Android, у якого є доступ до адресного простору пам’яті, яка є пам’яттю на пристрої, до якої має доступ додаток / процес.

Проте, було підкреслено, що, якщо цей вектор атаки практично не використовувався, ймовірність того, що ваші сід-фрази будуть скомпрометовані, мінімальна.

У той же час, з метою гарантії безпеки користувачам рекомендується вивести кошти NANO в інший гаманець з новим сідом. Команда NANO в даний час виправляє гаманець, щоб зробити його криптографічно безпечним, і попередження було випущено одразу ж після виявлення уразливості.

У NANO був невдалий рік, в лютому в ході кібератаки хакери викрали 17 мільйонів в криптовалюті NANO з біржі BitGrail, після чого обмінник був змушений заморозити всі торгові операції. Головна проблема полягає в тому, що до цих пір неможливо зрозуміти, хто винен в розкраданні коштів – розробники NANO або біржа, на якій торгувався актив.

Компанія NANO була готова допомогти користувачам відстоювати інтереси в суді, тому подвоїла обсяг коштів, що надходять до фонду юридичної агенції Еспена Енгера, що представляє інтереси жертв атаки.

На сьогоднішній день клієнти, які постраждали від кібератаки, внесли до фонду Енгера близько $ 300 тис. Команда NANO збільшила цю суму до $ 600 тис. І має намір в остаточному результаті зібрати $ 2 млн.

9 квітня група користувачів подала в суд на розробників криптовалюти NANO і звинуватила компанію в порушенні закону про цінні папери та прояві недбалості через випуск цифрової валюти на криптобіржу BitGrail.

Leave a Reply

Your email address will not be published. Required fields are marked *