15-го ноября криптовалютная компания Unciphered опубликовала отчет, в котором сообщается, что обнаружена уязвимость программного обеспечения под названием «Randstorm». Данная уязвимость подвергает старые кошельки Bitcoin серьезной опасности. По оценкам Unciphered, уязвимость Randstorm может затронуть около 1,4 млн. кошельков Bitcoin, созданных в период с 2011-го по 2015-ый года, в которых, согласно текущим рыночным ценам, хранится биткоинов на общую сумму от 1,2 до 2,1 млрд. долларов США.
Уязвимость Randstorm вызвана совокупностью программных ошибок, конструктивных особенностей и изменений в API, которые были внесены в приложения кошельков Bitcoin в период с 2011-го по 2015-ый. В частности, Randstorm связана с неправильной генерацией случайных чисел в криптографических ключах, используемых для защиты кошельков Bitcoin, что делает их гораздо менее защищенными, чем предполагалось. Это касается кошельков Bitcoin, созданных на сайте Blockchain.com, и некоторых кошельков Dogecoin, созданных на сайте Dogecoin.info в этот период.
Компания Unciphered впервые обнаружила Randstorm в прошлом году при оказании помощи клиенту, у которого был заблокирован старый кошелек Bitcoin, размещенный на сайте Blockchain.com. В ходе расследования по восстановлению недоступного кошелька команда Unciphered поняла, что он страдает от системного недостатка в способе генерации ключей в программном обеспечении BitcoinJS, использовавшемся для создания многих кошельков. Ключи не были достаточно случайными, создавая предсказуемые шаблоны, которые значительно облегчали взлом кошельков.
Хотя уязвимость Randstorm не указывает на недостатки самой технологии Bitcoin, она свидетельствует о ряде критических ошибок в программном обеспечении, которые распространились в экосистеме в первые годы принятия криптовалюты. Хорошей новостью является то, что кошельки, созданные после 2015-го года, не должны быть затронуты, поскольку технологии генерации случайных чисел были усовершенствованы. Однако компания Unciphered рекомендует всем, кто использует кошелек Bitcoin, созданный в период с 2011-го по 2015-ый года, немедленно перевести свои средства на новый, более безопасный кошелек, чтобы избежать возможной кражи.
Это кстати уже не первый случай, когда высказываются опасения по поводу безопасности ранних криптовалютных кошельков. По данным Unciphered, за последние восемь лет было несколько случаев, когда эксперты выявляли слабые места в реализации блокчейна, подвергавшие средства риску. Однако многие пользователи продолжали использовать уязвимые кошельки, либо не зная о рисках, либо не принимая никаких мер.
