Mobile crypto wallet Edge har annonceret en sikkerhedshændelse, hvor omkring 2000 private nøgler er blevet lækket. Virksomheden har opfordret brugerne til at opdatere til den seneste version af Edge Wallet, mens de viderefører deres undersøgelser.
I en hastemeddelelse den 22. februar opdagede Edge en sårbarhed på appen, der ville lække private nøgler.
På grund af synligheden af nøgler på Edge-logserveren kompromitterede sårbarheden cirka 2000 private nøgler ved at sende dem til Edge-infrastrukturen.
Ifølge Edge svarer dette til mindre end 0.01 % af det omtrentlige samlede antal nøgler, der er oprettet på platformen.
Virksomheden bekræftede dog, at Edge-logserverne ikke var blevet kompromitteret, og at brugermidlerne stadig er intakte.
”Et stikprøvetjek af flere dusin private nøgler viser, at mange stadig har penge tilbage. Gennem dette konstaterer vi, at der ikke har været et omfattende kompromis af Edge-infrastruktur, som ville have kompromitteret et stort flertal af midlerne på sådanne nøgler."
Edge pressemeddelelse
Edge sagde, at angrebet fandt sted den 20. februar, og personalet blev advaret af en bruger, der oplevede en uautoriseret transaktion, der fejede penge fra deres Bitcoin-pung. Angriberen stjal kun bitcoin (BTC) og efterlod andre aktiver.
Da Edge bruger individuelle master private nøgler til hver tegnebog, besluttede virksomheden, at kun den private nøgle til deres bitcoin wallet var kompromitteret og ikke brugerens konto.
Edge oplyste endvidere, at de kun modtog nogle få klager over brugere, der manglede midler, svarende til lave 5-cifre i USD, hvilket indikerer, at hændelsen kan have været et målrettet angreb på brugerne.
Holdet opdagede et par handlinger, der kunne have ført til en sårbarhed i private nøgler. Den første var, hvis en bruger valgte specifikke muligheder under fanerne køb og sælg, hvilket ville have resulteret i at logge pungens krypterede privat nøgle på enhedens disk.
Den anden var, hvis brugerne brugte upload-logs-funktionen, som ville sende logfilerne til Edge-serverne, inklusive den private nøgle, hvis købs- og salgsmulighederne blev valgt.
"Vi fortsætter efterforskningen, herunder dyb enhedsforskning for at afgøre, om malware kan have haft adgang til de ukrypterede private nøgler på disken."
Edge pressemeddelelse
Virksomheden har siden opfordret brugerne til at opdatere deres seneste version af Edge (v3.3.1), som er tilgængelig på Google Play Store, App Store og en direkte download på deres hjemmeside.
Den nye udgivelse, sagde de, løser alle kendte sårbarheder, der involverer tegnebogens private nøgler, og sletter straks alle tidligere logs af disken.
Kilde: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/