Группа исследователей пришла к выводу, что старые биткоин-адреса, сгенерированные через приложения для создания кошельков на JavaScript, могут быть уязвимы для хакеров.
Согласно исследованию, старая криптографическая уязвимость Java позволяет хакерам завладеть биткоинами жертвы. Это относится к тем кошелькам, которые были сгенерированы в JavaScript при помощи функции SecureRandom. Эта функция позволяла генерировать случайный набор символов в виде приватного ключа для биткоин-кошелька. Злоумышленники путём брутфорс-атаки могут узнать приватные ключи, что даст им доступ к чужим кошелькам.
Главный недостаток функции SecureRandom — генерация не совсем случайных значений. Об этом заявляли разработчик Linux Foundation и Unix-эксперт Дэвид Джерард. Согласно их данным, функция генерирует значения с энтропией ниже 48 бит, в связи с чем полученный результат уязвим для брутфорс-атак.
Джерард также добавил, что многие адреса кошельков, сгенерированные с помощью сервисов BitAddress до 2013-го года или Bitcoinjs до 2014-го скорее всего содержат аналогичную уязвимость. По его мнению, хакерам будет достаточно недели для взлома такого кошелька.
Владельцам подобных биткоин-адресов рекомендуется создать новые, используя современные методы, и перенести на них биткоины.
