Mobil kryptolommebok Edge har annonsert en sikkerhetshendelse hvor rundt 2000 private nøkler har blitt lekket. Selskapet har oppfordret brukere til å oppdatere til den nyeste versjonen av Edge Wallet når de viderefører undersøkelsene.
I et hastevarsel 22. februar oppdaget Edge en sårbarhet i appen som ville lekke private nøkler.
På grunn av synligheten til nøkler på Edge-loggserveren, kompromitterte sårbarheten omtrent 2000 private nøkler ved å sende dem til Edge-infrastruktur.
Ifølge Edge utgjør dette mindre enn 0.01 % av det omtrentlige totale antallet nøkler som er opprettet på plattformen.
Selskapet bekreftet imidlertid at Edge-loggserverne ikke hadde blitt kompromittert og at brukermidler fortsatt er intakte.
«En stikkprøvesjekk av flere dusin private nøkler viser at mange fortsatt har midler igjen. Gjennom dette fastslår vi at det ikke har vært et omfattende kompromiss av Edge-infrastruktur som ville ha kompromittert et stort flertall av midler på slike nøkler.»
Edge pressemelding
Edge sa at angrepet skjedde 20. februar, og personalet ble varslet av en bruker som opplevde en uautorisert transaksjon som feide penger fra Bitcoin-lommeboken deres. Angriperen stjal bare bitcoin (BTC) og etterlot andre eiendeler.
Siden Edge bruker individuelle private hovednøkler for hver lommebok, bestemte selskapet at bare den private nøkkelen til bitcoin-lommeboken deres ble kompromittert og ikke brukerens konto.
Edge uttalte videre at de bare mottok noen få klager på brukere som manglet penger, på lave 5 tall i USD, noe som indikerer at hendelsen kan ha vært et målrettet angrep på brukerne.
Teamet oppdaget noen få handlinger som kunne ha ført til en sårbarhet i private nøkler. Den første var hvis en bruker valgte spesifikke alternativer under kjøp og salg-fanene, noe som ville ha resultert i logging av lommebokens krypterte privat nøkkel på enhetens disk.
Den andre var hvis brukerne brukte opplastingsloggfunksjonen, som ville sende loggene til Edge-serverne, inkludert den private nøkkelen, hvis kjøps- og salgsalternativene ble valgt.
"Vi fortsetter etterforskningen, inkludert dype enhetsetterforskning for å finne ut om skadelig programvare kan ha hatt tilgang til de ukrypterte private nøklene på disken."
Edge pressemelding
Selskapet har siden oppfordret brukere til å oppdatere sin nyeste versjon av Edge (v3.3.1), som er tilgjengelig på Google Play Store, App Store og en direkte nedlasting på deres nettsted.
Den nye utgivelsen, sa de, fikser alle kjente sårbarheter som involverer lommebokens private nøkler og sletter umiddelbart alle tidligere logger av disken.
Kilde: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/