来自MyCrypto.com的安全研究员Harry Denley对加密钱包网站WalletGenerator.net进行了详细的分析。
分析的核心取决于WalletGenerator的原始开源代码。直到2018年8月17日,在线代码与开源代码相匹配,整个项目使用客户端技术生成钱包,该技术采用真正的随机熵并生成一个独特的钱包。但是在那个日期之后的某个时间,两组代码就不再匹配了。
这导致 WalletGenerator非常有可能为多个用户提供相同的密钥。为了测试这一点,MyCrypto的研究人员大量运行了生成器,得到了一些奇怪的结果。
“我们使用‘Bulk Wallet’生成器生成1,000个密钥。在非恶意的GitHub版本中,正如预期的那样,我们获得了1,000个唯一密钥。
但是,在2019年5月18日-2019年5月23日之间的不同时间使用WalletGenerator.net,每个会话只能获得120个惟一密钥。刷新我们的浏览器,切换VPN位置或让不同的一方执行相同的测试将导致生成一组不同的120个密钥。“
虽然截至上周五(5月24日)没有找到奇怪的行为,但它可能随时返回。
“我们仍在考虑这种高度怀疑,并仍然建议在2018年8月17日之后产生公共/私人密钥对的用户转移他们的资金,”研究人员说,“我们不建议继续使用WalletGenerator.net,即使此时的代码不容易受到攻击。”
Denley建议用户将基于WalletGenerator的纸质钱包中的资金转出。
版权声明 :本站文章未经授权不得转载。对已获授权的媒体、机构、个人,在使用时须注明来源“汇讯网”。
