Mobil kryptoplånbok Edge har meddelat en säkerhetsincident där cirka 2000 privata nycklar har läckt ut. Företaget har uppmanat användare att uppdatera till den senaste versionen av Edge Wallet när de fortsätter sina undersökningar.
I ett brådskande meddelande den 22 februari upptäckte Edge en sårbarhet i appen som skulle läcka privata nycklar.
På grund av synligheten av nycklar på Edge-loggservern, äventyrade sårbarheten cirka 2000 privata nycklar genom att skicka dem till Edge-infrastrukturen.
Enligt Edge uppgår detta till mindre än 0.01 % av det ungefärliga totala antalet nycklar som skapats på plattformen.
Företaget bekräftade dock att Edge-loggservrarna inte hade äventyrats och att användarmedlen fortfarande är intakta.
”En stickprovskontroll av flera dussin privata nycklar visar att många fortfarande har pengar kvar. Genom detta försäkrar vi oss om att det inte har skett en omfattande kompromiss av Edge-infrastruktur som skulle ha äventyrat en stor majoritet av pengarna på sådana nycklar.”
Edge pressmeddelande
Edge sa att attacken inträffade den 20 februari och att personalen larmades av en användare som upplevde en obehörig transaktion som sopade pengar från deras Bitcoin-plånbok. Angriparen stal bara bitcoin (BTC) och lämnade andra tillgångar.
Eftersom Edge använder individuella privata huvudnycklar för varje plånbok, fastställde företaget att endast den privata nyckeln till deras bitcoin-plånbok var äventyrad och inte användarens konto.
Edge uppgav vidare att de bara mottog ett fåtal klagomål om att användare saknade pengar, uppgående till låga 5 siffror i USD, vilket tyder på att incidenten kan ha varit en riktad attack mot användarna.
Teamet upptäckte några åtgärder som kunde ha lett till en sårbarhet i privata nycklar. Den första var om en användare valde specifika alternativ under köp- och säljflikarna, vilket skulle ha resulterat i att plånbokens krypterade loggar privat nyckel på enhetens disk.
Det andra var om användarna använde funktionen för uppladdningsloggar, som skulle skicka loggarna till Edge-servrarna, inklusive den privata nyckeln, om köp- och säljalternativen valdes.
"Vi fortsätter undersökningen inklusive djup kriminalteknik för att fastställa om skadlig programvara kan ha haft tillgång till de okrypterade privata nycklarna på disken."
Edge pressmeddelande
Företaget har sedan dess uppmanat användare att uppdatera sin senaste version av Edge (v3.3.1), som är tillgänglig på Google Play Store, App Store och en direkt nedladdning på deras webbplats.
Den nya utgåvan, sa de, fixar alla kända sårbarheter som involverar plånboks privata nycklar och raderar omedelbart alla tidigare utloggningar från disken.
Källa: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/