Аналитики компании Coinspect выявили уязвимость под названием Ill Bloom, из-за которой у части криптокошельков ненадёжно генерируются секретные ключи. Проблема уже привела к хищению более $5 млн, а риску подвержены тысячи адресов по всему миру.
По данным компании, атака 27 мая затронула 431 кошелёк из 2114 уязвимых — злоумышленники вывели $3,1 млн в криптовалюте. В минувшее воскресенье с уязвимых адресов увели ещё $2 млн.
Coinspect пока не раскрывает технические детали активной атаки, чтобы не облегчать работу злоумышленникам, но выпустила бесплатный инструмент — с его помощью пользователи могут проверить, не входит ли их адрес в число потенциально уязвимых.
Кто в зоне риска
Компания уточнила, что проблема касается далеко не всех кошельков. Аппаратные устройства для хранения ключей она не затрагивает вовсе.
«Текущие данные говорят о том, что пользователи, создавшие свою seed-фразу [набор слов для восстановления доступа к кошельку] с помощью аппаратного кошелька, не пострадали», — сообщили в Coinspect. По словам компании, большинство современных программных кошельков также не подвержены риску.
«Наиболее вероятные жертвы — пользователи, сгенерировавшие свою seed-фразу в менее популярных мобильных программных кошельках», — отметили в Coinspect.
Компания SlowMist, специализирующаяся на безопасности блокчейнов, подтвердила серьёзность угрозы. «Мы внимательно следим за предупреждением Coinspect о риске слабой случайности при генерации ключей в кошельках Ill Bloom», — написали в SlowMist в соцсети X в понедельник.
Похожие случаи уже были
Подобные уязвимости в криптокошельках всплывали и раньше. В 2023 году специалисты по безопасности компании Ledger обнаружили, что seed-фразы, создаваемые расширением-кошельком Trust Wallet для браузера, можно было взломать методом перебора.
Проблема крылась в механизме генерации случайных чисел для новых адресов: он ограничивал число возможных комбинаций примерно четырьмя миллиардами, и мотивированный злоумышленник мог подобрать ключ меньше чем за сутки, используя всего несколько видеокарт. Trust Wallet устранила уязвимость до того, как средства пользователей пострадали.
В том же году схожая уязвимость в кошельке Libbitcoin Explorer позволила злоумышленникам похитить $900 тыс., подобрав приватные ключи пользователей.