A carteira de criptomoeda móvel Edge anunciou um incidente de segurança em que cerca de 2000 chaves privadas vazaram. A empresa pediu aos usuários que atualizem para a versão mais recente da Edge Wallet à medida que avançam em suas investigações.
Em um aviso urgente em 22 de fevereiro, o Edge descobriu uma vulnerabilidade no aplicativo que vazaria chaves privadas.
Devido à visibilidade das chaves no servidor de logs do Edge, a vulnerabilidade comprometeu aproximadamente 2000 chaves privadas ao enviá-las para a infraestrutura do Edge.
Segundo a Edge, isso equivale a menos de 0.01% do número total aproximado de chaves criadas na plataforma.
A empresa, no entanto, confirmou que os servidores de log do Edge não foram comprometidos e que os fundos do usuário ainda estão intactos.
“Uma verificação pontual de várias dezenas de chaves privadas mostra que muitos ainda têm fundos restantes. Com isso, verificamos que não houve um amplo comprometimento da infraestrutura do Edge que comprometeria a grande maioria dos fundos em tais chaves.”
Declaração de imprensa de borda
Edge disse que o ataque ocorreu em 20 de fevereiro e a equipe foi alertada por um usuário que experimentou uma transação não autorizada que varreu fundos de sua carteira Bitcoin. O invasor roubou apenas bitcoin (BTC) e deixou outros ativos.
Como o Edge usa chaves privadas mestras individuais para cada carteira, a empresa determinou que apenas a chave privada de sua carteira bitcoin foi comprometida e não a conta do usuário.
A Edge afirmou ainda que recebeu apenas algumas reclamações de usuários com falta de fundos, no valor de 5 dígitos em USD, indicando que o incidente pode ter sido um ataque direcionado aos usuários.
A equipe descobriu algumas ações que poderiam ter levado a uma vulnerabilidade nas chaves privadas. A primeira era se um usuário selecionasse opções específicas nas guias de compra e venda, o que resultaria no registro da carteira criptografada chave privada no disco do dispositivo.
A segunda era se os usuários usassem o recurso de upload de logs, que enviaria os logs para os servidores de borda, incluindo a chave privada, caso as opções de compra e venda fossem selecionadas.
“Estamos continuando a investigação, incluindo análise forense profunda do dispositivo para determinar se o malware pode ter tido acesso às chaves privadas não criptografadas no disco”.
Declaração de imprensa de borda
Desde então, a empresa pediu aos usuários que atualizassem sua versão mais recente do Edge (v3.3.1), que está disponível na Google Play Store, App Store e um download direto em seu site do Network Development Group.
A nova versão, disseram eles, corrige todas as vulnerabilidades conhecidas envolvendo chaves privadas de carteira e exclui imediatamente todos os logs anteriores do disco.
Fonte: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/