NERA:開源代碼與網站代碼不一致？WalletGenerator 曝出驚人漏洞

WalletGenerator.net在2018年8月17前，網頁代碼和開源代碼都是匹配的，而在該時間之后，兩套代碼就不一樣了，研究員認為WalletGenerator生成器具備較大風險，建議8月17后使用該功能的用戶盡快轉移資產。

原文標題：《ResearcherDiscoversSeriousVulnerabilityinPaperCryptoWalletSite》文章來源：Coindesk原文作者：JohnBiggs翻譯：Beosin成都鏈安

Solana生態跨鏈穩定幣交易平臺Saber推出開源代碼庫Visper:Solana生態跨鏈穩定幣交易平臺Saber在推特上介紹了一個開源代碼庫Visper，該代碼庫包含了檢查和驗證等功能，可用于協助Solana上項目安全性的檢驗。Saber表示，Solana的費用機制與以太坊不同，執行的代碼數量不會影響交易成本，所以最好設計盡量多的安全審查代碼以最大程度減少出現漏洞的可能。[2021/8/16 22:17:40]

據CoindeskUTC時間5月27號17:00消息，MyCrypto研究員HarryDenley發現WalletGenerator.net上的私鑰生成器存在嚴重漏洞，并對WalletGenerator的源碼做了詳細分析：2018年8月17前網頁源碼和開源代碼都是相匹配的，而且整個錢包生成器系統運用基于實際隨機熵的客戶端技術來生成唯一的錢包。然而，從2018年8月17后的某個時間起，兩套代碼就不一致了。這極可能是網頁版本中存在問題代碼的WalletGenerator向許多不同用戶提供了相同的私鑰。MyCrypto研究員為驗證此推測做了測試，在生成器上批量生成私鑰，并得到了一些反常結果。

Findora公布審核代碼庫結果并計劃于2021Q1發布開源代碼:據官方消息，Findora與一家美國上市的軟件行業安全審計公司合作，對方對Findora即將開源代碼庫進行分析檢測。 針對安全性和風險的初步審核結果顯示代碼庫的結構設計和抗攻擊性等方面均表現非常出色，在各個方面均達到或者超出行業內認可的標準。

審核一共掃描和分析了超過9800多個文件，該審計報告指出Findora代碼庫在安全薄弱程度方面的評價結果是“極低”。在完成全面的安全審核后，Findora將在未來公布開源時間表，從2021年第一季度開始逐步發布其開源代碼。

Findora旨在成為金融服務行業的粘合劑-即實現任何性質的資產并應對支持和統一各種加密貨幣和傳統資產的必要挑戰-安全仍然是我們的首要任務，并且是實現廣泛采用并建立全球信任這一目標的基礎。進行端到端的第三方安全審核并取得優異的結果是朝此方向邁出的兩個重要步驟。[2021/1/5 16:27:50]

研究員用「塊錢包」生成器生成了1000個私鑰。在沒有問題代碼的的GitHub開源碼版本下，正如預期，研究員得到了1000個互不相同的私鑰。但是，在WalletGenerator.net版本下，研究員在2019年5月18至23日不同時間段做了多次測試，每次都只得到了120個互不相同的私鑰——盡管用了刷新頁面、切換VPN地址等排除干擾因素的措施，結果依然如此。雖然在5月24號，這一反常結果沒有出現，但誰也不保證未來某一時間反常結果會再次出現。

動態 | 開源代碼庫GitHub限制伊朗用戶訪問 引發廣泛批評:據Financial Tribune消息，總部位于美國的開源代碼存儲庫GitHub已經限制了來自伊朗用戶的訪問權限，過去24小時內，伊朗GitHub用戶接收到了GitHub的電子郵件，告知他們由于制裁，代碼庫的訪問權限受到限制。郵件內容大致為：根據美國貿易管制法律，您的GitHub帳戶受到限制。 對于個人帳戶，您可能只允許訪問免費的GitHub公共存儲庫服務，且僅用于個人通信。GitHub此舉引發了廣泛的批評，社區很多人認為這是對伊朗人的徹底歧視。[2019/7/27]

鑒于此，MyCrypto研究員認為WalletGenerator生成器具備較大風險，不建議用戶繼續使用WalletGenerator，并建議用戶：如果用過2018年8月17號之后在WalletGenerator.net網站上生成的私鑰，請盡快將資產轉移至更安全的地址。

來源鏈接：www.coindesk.com

本文來源于非小號媒體平臺：

鏈聞速遞

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3628639.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

Hashgard：CosmosSDK漏洞的觸發條件為驗證人節點宕機

下一篇：

聽說BitGo工程團隊老大的錢包被黑了，到底怎么回事？教訓是什么？

Tags：NERLETNERAERAEnergiC3 WalletGenerational Wealth SocietyUnFederalReserve

POL幣最新價格