Portofoli i kriptove celulare Edge ka njoftuar një incident sigurie ku janë zbuluar rreth 2000 çelësa privatë. Kompania u ka kërkuar përdoruesve të përditësojnë versionin më të fundit të Edge Wallet ndërsa vazhdojnë hetimet e tyre.
në një njoftim urgjent më 22 shkurt, Edge zbuloi një dobësi në aplikacion që do të zbulonte çelësat privatë.
Për shkak të dukshmërisë së çelësave në serverin e regjistrave Edge, cenueshmëria rrezikoi afërsisht 2000 çelësa privatë duke i dërguar në infrastrukturën Edge.
Sipas Edge, kjo arrin në më pak se 0.01% të numrit të përafërt të përgjithshëm të çelësave të krijuar në platformë.
Kompania, megjithatë, konfirmoi se serverët e regjistrave Edge nuk ishin komprometuar dhe se fondet e përdoruesve janë ende të paprekura.
“Një kontroll në vend i disa dhjetëra çelësave privatë tregon se shumë prej tyre kanë ende fonde të mbetura. Nëpërmjet kësaj, ne konstatojmë se nuk ka pasur një kompromis të gjerë gjithëpërfshirës të infrastrukturës Edge që do të kishte kompromentuar një shumicë dërrmuese të fondeve për çelësa të tillë.”
Deklarata për shtyp e Edge
Edge tha se sulmi ndodhi më 20 shkurt dhe stafi u lajmërua nga një përdorues i cili përjetoi një transaksion të paautorizuar që fshiu fondet nga portofoli i tyre Bitcoin. Sulmuesi vodhi vetëm bitcoin (BTC) dhe ka lënë pasuri të tjera.
Meqenëse Edge përdor çelësa privatë individualë kryesorë për çdo portofol, kompania përcaktoi se vetëm çelësi privat i portofolit të tyre bitcoin ishte komprometuar dhe jo llogaria e përdoruesit.
Edge deklaroi më tej se ata morën vetëm disa ankesa të përdoruesve për mungesë fondesh, që arrinin në 5 shifra të ulëta në USD, duke treguar se incidenti mund të ketë qenë një sulm i synuar ndaj përdoruesve.
Ekipi zbuloi disa veprime që mund të kishin çuar në një cenueshmëri në çelësat privatë. E para ishte nëse një përdorues zgjidhte opsione specifike nën skedat e blerjes dhe shitjes, gjë që do të kishte rezultuar në regjistrimin e të koduarve të portofolit çelës privat në diskun e pajisjes.
E dyta ishte nëse përdoruesit përdornin funksionin e regjistrave të ngarkimit, i cili do t'i dërgonte regjistrat në serverët Edge, duke përfshirë çelësin privat, nëse zgjidheshin opsionet e blerjes dhe shitjes.
"Ne po vazhdojmë hetimin duke përfshirë mjekësinë ligjore të pajisjeve të thella për të përcaktuar nëse malware mund të ketë pasur akses në çelësat privatë të pakriptuar në disk."
Deklarata për shtyp e Edge
Që atëherë, kompania u ka kërkuar përdoruesve të përditësojnë versionin e tyre të fundit të Edge (v3.3.1), i cili është i disponueshëm në Google Play Store, App Store dhe një shkarkim direkt në .
Lëshimi i ri, thanë ata, rregullon të gjitha dobësitë e njohura që përfshijnë çelësat privatë të portofolit dhe fshin menjëherë të gjitha regjistrimet e mëparshme nga disku.
Burimi: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/