Blockchain.info emette rimborsi alle vittime del furto Bitcoin

Un altro bug è stato scoperto in un portafoglio Bitcoin , che ha portato al furto di circa 50 bitcoin. Questa volta, il web wallet di Blockchain.info era in errore e la società ora offre rimborsi agli utenti che hanno perso bitcoin a causa del difetto.

Il famoso sito web Blockchain offre principalmente dati di mercato e funge da principale esploratore di blockchain per la valuta Bitcoin . Tuttavia, gli utenti possono anche creare portafogli basati sul web per inviare e ricevere bitcoin. Il bug risiede nel generatore di numeri casuali che il portafoglio web utilizza per firmare le transazioni Bitcoin . I numeri casuali vengono generati nei browser web utilizzando il linguaggio di programmazione JavaScript. È stato scoperto lunedì, quando un utente Bitcoin segnalato che gli erano stati rubati 1,8 BTC (circa 223 $).

"I fondi provenienti da altri indirizzi in questo portafoglio non sono stati interessati. Questo mi porta a pensare che Blockchain.info o Firefox potrebbero avere qualche debolezza nel generatore di numeri casuali, come la vulnerabilità recentemente trovata in Android, [sic]", ha affermato.

Questo bug segue un altro difetto del generatore casualetrovato nel sistema operativo Android all'inizio di questo mese. Tale difetto ha interessato la generazione di chiavi private per gli indirizzi Bitcoin . La ripetizione di numeri casuali ha consentito agli aggressori di determinare le chiavi private dei portafogli degli utenti, che a loro volta hanno consentito loro di prendere possesso degli indirizzi Bitcoin associati a tali chiavi.

Molti client Android sono stati colpiti da questa falla (incluso il client di Blockchain.info, per il quale è stata rilasciata una patch). Ma questa ultima falla ha colpito il client del browser di Blockchain.info, le sue estensioni Chrome e Firefox e la sua app Mac OSX.

A differenza del bug di Android, questo difetto ha interessato solo la firma delle transazioni, piuttosto che la creazione di chiavi private,confermatoBen Reeves (alias Piuk) di Blockchain sul forum Bitcointalk. Firefox era particolarmente vulnerabile a un seeding scadente del suo generatore di numeri casuali, ha aggiunto.

"A differenza del problema di Android, l'RNG [generatore di numeri casuali] utilizzato per generare chiavi private non è stato interessato, quindi i portafogli non devono essere ricodificati", ha detto Reeves a CoinDesk. "Finché il tuo client è aggiornato per le transazioni future, non sarai a rischio".

Blockchain.info ha ora corretto il bug. Gli utenti devono assicurarsi di utilizzare i seguenti numeri di versione client:

• Estensione Chrome - v2.85
• Estensione Firefox - v1.97
• Cliente Mac - v0.11

Inoltre, coloro che utilizzano solo il portafoglio web (senza plugin) dovrebbero cancellare la cache del browser prima di utilizzare il sito web Blockchain.

Un altro utente del forum ha informato i membri del forum con sede negli Stati Uniti che è possibile ricorrere alle vie legali tramiteleggi federali contro la frode telematica criminale.

Alla domanda sull'identità dell'aggressore/degli aggressori, Reeves ha confermato che l'aggressore è un individuo e che tutti i fondi rubati sono stati inviati al seguente indirizzo:1HKywxiL4JziqXrzLKhmB6a74ma6kxbSDj.

È significativo che i fondi trasferiti su tale conto comprendano anche fondi sottratti agli utenti Android all'inizio di questo mese, il che suggerisce che dietro al furto di bitcoin potrebbe esserci la stessa persona che sfrutta entrambi i bug.

Per coloro che cercano di recuperare i fondi persi, Reeves ci ha detto: "Se qualcuno pensa di aver subito un furto di fondi, se è dovuto a questo bug è molto probabile che le monete siano state inviate all'indirizzo sopra indicato. In caso di dubbi, possono contattarehelp@blockchain.infoe farò ulteriori accertamenti. Finora sono stati rimborsati solo un paio di BTC ."

Reeves ha accennato a un barlume di speranza per i fondi persi: "Dipende dalle intenzioni [dell'attaccante], ma c'è ancora la possibilità che restituiscano i fondi". Ma il messaggio prevalente è: T contateci troppo.

Un rappresentante di Blockchain.info ha affermato che Reeves ha rilasciato le patch (sopra menzionate) nel giro di poche ore dal rilevamento del difetto, aggiungendo: "Si tratta di tempi di risposta davvero sorprendenti".

Un elenco degli indirizzi interessati dai bug del generatore di numeri casuali sia su Blockchain che su Android è statopubblicato sul forum Bitcoin, ed è stato anche aggiornato con nuove scoperte. Ci ha detto: "Se qualcuno pensa che i suoi soldi siano stati rubati a causa di questo exploit, dovrebbe controllare se il suo indirizzo Bitcoin è nella lista. Se lo è, Contattaci a:https://blockchain.info/support-desk. In caso T, non sei stato vittima di questo exploit."

Hai perso bitcoin? Ti hanno rimborsato? Faccelo sapere nei commenti.