W popularnej witrynie portfela papierowego BitcoinPaperWallet.com znaleziono tylne drzwi (backdoor). Podczas tworzenia portfela klucze prywatne wpadły w ręce cyberprzestępców, w wyniku czego użytkownicy stracili ponad 124 BTC.
Jak się okazało, popularna witryna do generowania portfeli papierowych BitcoinPaperWallet.com okazała się podatna na backdoora, umożliwiając atakującym uzyskanie dostępu do kluczy prywatnych przynajmniej części portfeli utworzonych przez użytkowników. Gdy bitcoiny pojawią się w tych portfelach, hakerzy natychmiast je kradną.
Eksperci od bezpieczeństwa komputerowego mówili o luce: zazwyczaj podczas tworzenia portfela użytkownik musi poruszać myszą, aby wygenerować losowy klucz. Jednak w serwisie BitcoinPaperWallet.com cyberprzestępcy zaimplementowali metodę o nazwie „test_keys” – podczas tworzenia wygenerowano i zapisano na serwerze kilka kluczy testowych. Po zakończeniu tworzenia został użyty jeden z tych kluczy, a nie losowy klucz wygenerowany przez użytkownika. A hakerzy mieli dostęp do tych kluczy testowych.
Jednocześnie nie ma takiej metody w oryginalnym kodzie BitcoinPaperWallet zamieszczonym przez twórcę na portalu GitHub. W związku z tym ktoś specjalnie „zaktualizował” kod w celu kradzieży kluczy z portfeli użytkowników. Jednak nie wiadomo kto dokonał zmiany na stronie internetowaej, był to hack czy zrobili to autorzy strony.
7 stycznia użytkownik BitcoinPaperWallet.com pod pseudonimem „Nick Wendell” stracił 14,5 BTC. Stworzył portfel papierowy i przeniósł do niego bitcoiny, ale po kilku minutach zostały skradzione. Następnie bitcoiny zostały wymienione na giełdzie Binance. Przy obecnym kursie wymiany to ponad 700 000 dolarów.
„W ciągu minuty zdałem sobie sprawę, co się stało. Miałem wrażenie, że spadam z wysokości i nigdy nie sięgnę dna. Pamiętam, jak w szoku chodziłem w kółko po kuchni ”- napisał użytkownik.
Zwróć uwagę, że rozszerzenie MetaMask dla popularnych przeglądarek wykrywa BitcoinPaperWallet.com jako witrynę phishingową i ostrzega o tym użytkownika.
„Niezwykle ważne jest, aby portfel został utworzony przy użyciu zaufanego oprogramowania i całkowicie offline. Należy pamiętać, że jeśli klucz prywatny zostanie zgubiony, napastnicy mogą ukraść wszystkie twoje oszczędności ”- powiedział niezależny programista Bitcoin Dustin Dettmer.
W 2019 roku specjaliści MyCrypto.com odkryli lukę w generatorze portfela, dzięki której te same klucze prywatne mogły zostać wygenerowane ponownie podczas tworzenia portfeli.