Le portefeuille cryptographique mobile Edge a annoncé un incident de sécurité où environ 2000 clés privées ont été divulguées. La société a exhorté les utilisateurs à mettre à jour la dernière version du portefeuille Edge au fur et à mesure de leurs enquêtes.
Dans une avis urgent le 22 février, Edge a découvert une vulnérabilité sur l'application qui divulguerait des clés privées.
En raison de la visibilité des clés sur le serveur de journaux Edge, la vulnérabilité a compromis environ 2000 XNUMX clés privées en les envoyant à l'infrastructure Edge.
Selon Edge, cela représente moins de 0.01 % du nombre total approximatif de clés créées sur la plateforme.
La société a cependant confirmé que les serveurs de journaux Edge n'avaient pas été compromis et que les fonds des utilisateurs étaient toujours intacts.
« Une vérification ponctuelle de plusieurs dizaines de clés privées montre que beaucoup ont encore des fonds restants. Grâce à cela, nous constatons qu'il n'y a pas eu de vaste compromission de l'infrastructure Edge qui aurait compromis une grande majorité des fonds sur ces clés.
Communiqué de presse Edge
Edge a déclaré que l'attaque s'était produite le 20 février et que le personnel avait été alerté par un utilisateur qui avait subi une transaction non autorisée qui avait emporté des fonds de son portefeuille Bitcoin. L'attaquant n'a volé que des bitcoins (BTC) et a laissé d'autres actifs.
Étant donné qu'Edge utilise des clés privées principales individuelles pour chaque portefeuille, la société a déterminé que seule la clé privée de son portefeuille bitcoin était compromise et non le compte de l'utilisateur.
Edge a en outre déclaré qu'ils n'avaient reçu que quelques plaintes d'utilisateurs manquant de fonds, s'élevant à 5 chiffres en USD, indiquant que l'incident pourrait avoir été une attaque ciblée contre les utilisateurs.
L'équipe a découvert quelques actions qui auraient pu conduire à une vulnérabilité dans les clés privées. La première était si un utilisateur sélectionnait des options spécifiques sous les onglets d'achat et de vente, ce qui aurait entraîné la journalisation du chiffrement du portefeuille. Clé privée sur le disque de l'appareil.
La seconde était si les utilisateurs utilisaient la fonction de téléchargement des journaux, qui enverrait les journaux aux serveurs Edge, y compris la clé privée, si les options d'achat et de vente étaient sélectionnées.
"Nous poursuivons l'enquête, y compris l'investigation approfondie des appareils pour déterminer si des logiciels malveillants ont pu avoir accès aux clés privées non cryptées sur le disque."
Communiqué de presse Edge
La société a depuis exhorté les utilisateurs à mettre à jour leur dernière version d'Edge (v3.3.1), qui est disponible sur Google Play Store, App Store et en téléchargement direct sur leur site .
La nouvelle version, ont-ils déclaré, corrige toutes les vulnérabilités connues impliquant des clés privées de portefeuille et supprime immédiatement tous les journaux précédents du disque.
Source : https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/