Bitcoinnews

Уязвимость Ill Bloom в криптокошельках: похищено уже более $5 млн

Компания Coinspect обнаружила слабое место в генерации ключей у части мобильных кошельков — злоумышленники уже вывели свыше $5 млн, а под угрозой остаются тысячи адресов.

Аналитики компании Coinspect выявили уязвимость под названием Ill Bloom, из-за которой у части криптокошельков ненадёжно генерируются секретные ключи. Проблема уже привела к хищению более $5 млн, а риску подвержены тысячи адресов по всему миру.

По данным компании, атака 27 мая затронула 431 кошелёк из 2114 уязвимых — злоумышленники вывели $3,1 млн в криптовалюте. В минувшее воскресенье с уязвимых адресов увели ещё $2 млн.

Coinspect пока не раскрывает технические детали активной атаки, чтобы не облегчать работу злоумышленникам, но выпустила бесплатный инструмент — с его помощью пользователи могут проверить, не входит ли их адрес в число потенциально уязвимых.

Кто в зоне риска

Компания уточнила, что проблема касается далеко не всех кошельков. Аппаратные устройства для хранения ключей она не затрагивает вовсе.

«Текущие данные говорят о том, что пользователи, создавшие свою seed-фразу [набор слов для восстановления доступа к кошельку] с помощью аппаратного кошелька, не пострадали», — сообщили в Coinspect. По словам компании, большинство современных программных кошельков также не подвержены риску.

«Наиболее вероятные жертвы — пользователи, сгенерировавшие свою seed-фразу в менее популярных мобильных программных кошельках», — отметили в Coinspect.

Компания SlowMist, специализирующаяся на безопасности блокчейнов, подтвердила серьёзность угрозы. «Мы внимательно следим за предупреждением Coinspect о риске слабой случайности при генерации ключей в кошельках Ill Bloom», — написали в SlowMist в соцсети X в понедельник.

Похожие случаи уже были

Подобные уязвимости в криптокошельках всплывали и раньше. В 2023 году специалисты по безопасности компании Ledger обнаружили, что seed-фразы, создаваемые расширением-кошельком Trust Wallet для браузера, можно было взломать методом перебора.

Проблема крылась в механизме генерации случайных чисел для новых адресов: он ограничивал число возможных комбинаций примерно четырьмя миллиардами, и мотивированный злоумышленник мог подобрать ключ меньше чем за сутки, используя всего несколько видеокарт. Trust Wallet устранила уязвимость до того, как средства пользователей пострадали.

В том же году схожая уязвимость в кошельке Libbitcoin Explorer позволила злоумышленникам похитить $900 тыс., подобрав приватные ключи пользователей.

Читать на bitcoinnews