暴走时评:MyCrypto网站安全研究院Harry Denleys发布了一篇关于纸钱包网站WalletGenerator.net的详细分析报告,表示一段时间后,线上代码和开源代码就开始不匹配。造成这种现象最可能的原因是WalletGenerator把同样的私钥给了多个用户。
翻译:Maya
MyCrypto网站安全研究院Harry Denleys发布了一篇关于纸钱包网站WalletGenerator.net的详细分析报告。
报告主要根据WalletGenerator的原始开源代码展开分析。到2018年8月17日,该网站线上代码还是和开源代码相符的,且当时整个项目通过一项客户端技术生成钱包——该技术采用真正随机的无序状态测量法。但是之后过了一段时间线上代码和开源代码就开始不匹配了。
最大的可能就是WalletGenerator把同样的私钥给了多个用户。为了证明这一点,MyCrypto的研究人员进行了大批量生成器测试,然后得到了一些奇怪的结果。
“换一个角度切入,我们用Bulk Wallet生成器生成了1000个私钥。根据无恶意的、GitHub代码,我们的1000个私钥是独一无二的,正如预期那样。”
但是,在2019年5月18日到5月23日期间不同时间段使用WalletGenerator.net时,每个时间段我们只能获得120个唯一的私钥。刷新浏览器,换一个VPN地址或者换一方来做同样的测试,却生成了另一组不同的120个密钥。
虽然到5月24日为止都没有再出现异常,但这个问题也可能随时重现。
“我们还是保持高度怀疑,也建议在2018年8月17日之后在该网站生成过公私钥的用户转移资产”,研究人员表示,“我们不建议继续使用WalletGenerator.net,即使目前代码没有异常。”
点击链接可以查看完整报道,不过Denley还是建议转移该网站纸钱包里的资产。目前没有明确的渠道可以联络到网站两位正愉快的搞着副业的管理者,所以安全起见,建议大家不要在使用该网站了。