モバイル暗号ウォレット Edge は、約 2000 の秘密鍵が漏洩したというセキュリティ インシデントを発表しました。 同社は、ユーザーが調査を進めるにつれて、最新バージョンの Edge Wallet に更新するように促しています。
で 緊急のお知らせ 22 月 XNUMX 日、Edge はアプリに秘密鍵を漏らす脆弱性を発見しました。
Edge ログ サーバーでのキーの可視性により、この脆弱性により、約 2000 個の秘密キーが Edge インフラストラクチャに送信されて危険にさらされました。
Edge によると、これはプラットフォーム上で作成されたキーのおよその総数の 0.01% 未満です。
しかし、同社は、エッジログサーバーが侵害されておらず、ユーザーの資金がまだ無傷であることを確認しました.
「数十個の秘密鍵をスポットチェックしたところ、多くの秘密鍵がまだ資金を持っていることがわかりました。 これにより、そのようなキーの資金の大部分が危険にさらされたエッジインフラストラクチャの広範な侵害がなかったことを確認します。」
エッジプレス声明
Edge によると、攻撃は 20 月 XNUMX 日に発生し、Bitcoin ウォレットから資金を奪う不正な取引を経験したユーザーからスタッフに警告がありました。 攻撃者はビットコインのみを盗みました (BTC) 他のアセットを残しました。
Edge は各ウォレットに個別のマスター秘密鍵を使用しているため、同社は、ユーザーのアカウントではなく、ビットコイン ウォレットの秘密鍵のみが侵害されたと判断しました。
Edge はさらに、ユーザーが資金を失ったという苦情を少数しか受けておらず、米ドルで 5 桁台前半に達したと述べており、インシデントがユーザーに対する標的型攻撃であった可能性があることを示しています。
チームは、秘密鍵の脆弱性につながる可能性があるいくつかのアクションを発見しました。 XNUMX つ目は、ユーザーが [購入] タブと [販売] タブで特定のオプションを選択した場合で、その結果、ウォレットの暗号化されたログが記録されます。 秘密鍵 デバイスのディスクに。
XNUMX つ目は、ユーザーがログのアップロード機能を使用した場合です。これにより、売買オプションが選択された場合に、プライベート キーを含むログがエッジ サーバーに送信されます。
「マルウェアがディスク上の暗号化されていない秘密鍵にアクセスした可能性があるかどうかを判断するために、詳細なデバイス フォレンジックを含む調査を続けています。」
エッジプレス声明
同社はそれ以来、ユーザーに Edge の最新バージョン (v3.3.1) を更新するよう促してきました。最新バージョンは、Google Play ストア、App Store で入手でき、直接ダウンロードすることもできます。 ウェブサイト.
彼らによると、新しいリリースでは、ウォレットの秘密鍵に関連するすべての既知の脆弱性が修正され、以前のすべてのログがディスクから即座に削除されます。
ソース: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/