Среда , 14 Ноябрь 2018

В Android кошельке NANO обнаружена уязвимость

NANO, переименованный из RaіBlocks в январе 2018 года, выпустил заявление, предупреждающее пользователей об уязвимости в их android кошельке. 21 июня разработчики обратились к пользователям с призывом переместить средства в кошелек с другой сид-фразой:

Это относится ко всем, кто создал сид-фразу кошелька с помощью android кошелька NANO.

Проблема связана с использованием класса Random.java, который используется для генерации потока криптографически безопасных псевдослучайных чисел. Команда разработчиков, похоже, не обратила на это внимания, и важно отметить, что этот вопрос ранее не был обнаружен.

Согласно посту CEO Nanex на reddit, случайный метод использует комбинацию текущего времени и адрес памяти устройства класса java.util.Random.

Код генерирует 64 случайных числа, преобразует их в шестнадцатеричный формат и затем использует первые 64 символа из результата. Возможное исправление будет использовать метод SecureRandom, который намного безопаснее и рекомендуется в соответствии с официальными документами java.

В java-документах явно указано следующее:

«Экземпляры java.util.Random не являются криптографически безопасными. Вместо этого используйте SecureRandom для получения криптографически безопасного генератора псевдослучайных чисел для использования чувствительными к безопасности приложениями ».

К срыву вашего кошелька NANO может привести вредоносный процесс на вашем телефоне Android, у которого есть доступ к адресному пространству памяти, которая является памятью на устройстве, к которому имеет доступ приложение / процесс.

Тем не менее, было подчеркнуто, что, если этот вектор атаки фактически не использовался, вероятность того, что ваши сид-фразы будут скомпрометированы, минимальна.

В тоже время, с целью гарантии безопасности пользователям настоятельно рекомендуется вывести средства NANO в другой кошелек с новым сидом. Команда NANO в настоящее время исправляет кошелек, чтобы сделать его криптографически безопасным, и предупреждение было выпущено сразу же после обнаружения уязвимости.

У NANO был неудачный год, в феврале в ходе кибератаки хакеры похитили 17 миллионов в криптовалюте Nano с торговой площадки BitGrail, после чего обменник был вынужден заморозить все торговые операции. Главная проблема заключается в том, что до сих пор невозможно понять, кто виноват в хищении средств — разработчики NANO или биржа, на которой торговался актив.

Компания NANO была готова помочь пользователям отстаивать интересы в суде, поэтому удвоила размер средств, поступающих в фонд юридического агентства Эспе­на Эн­ге­ра, представляющего интересы жертв атаки.

На сегодняшний день клиенты, пострадавшие от кибератаки, внесли в фонд Энгера около $300 тыс. Команда NANO увеличила эту сумму до $600 тыс. и намерена в окончательном результате собрать $2 млн.

9 апреля группа пользователей подала в суд на разработчиков криптовалюты NANO и обвинила компанию в нарушении закона о ценных бумагах и проявлении халатности из-за выпуска цифровой валюты на криптобиржу BitGrail.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *