Programmeur ontdekt fout in code bij WalletGenerator.net
Last Updated on 28 mei 2019 by CryptoTips.eu
Gebruikers van WalletGenerator.net konden hun schrik niet op. Uit een onderzoek van een beveiligingsonderzoeker blijkt dat de website gedurende een periode van meer dan 6 maanden dezelfde beveiligingssleutels aan verschillende gebruikers uitgaf.
MyCrypto, de organisatie die de fout ontdekte, testte WalletGenerator tussen 18 en 23 mei. Er werd gebruik gemaakt van de website om 1000 sleutels te maken. Met de publieke code op het programmeurs platform GitHub kwamen 1000 sleutels terug. Toen de medewerkers van MyCrypto hetzelfde deden met de live code van WalletGenerator kwamen 120 codes terug. Ook wanneer andere factoren werden geoptimaliseerd, zoals browser vernieuwen, VPN-veranderingen of het veranderen van gebruikers.
De slechte code zou al sinds augustus vorig jaar in gebruik zijn. Ondanks het feit dat de code open source is lijkt het erop dat de beveiligingscodes bewust op deze wijze werden toegedeeld.
Nadat MyCrypto tijdens haar onderzoek contact opnam met WalletGenerator.net werd de code aangepast. Toch werd in eerste instantie geantwoord dat de “beschuldigingen” niet bevestigd konden worden en werd er gevraagd of MyCrypto een phishing website was.
- 🎁 Claim gratis €25 aan crypto bij Bitvavo (vrij te besteden)
- 🎁 Gratis tot 40 USDT bij Bybit (vrij te besteden)
Onduidelijk waarom live-code anders is
Het is tot nu toe dus niet duidelijk waarom de code van WalletGenerator op deze manier is vormgegeven. Willekeurigheid bij het genereren van sleutels is ontzettend belangrijk, zoals werd meegedeeld in een blog post van MyCrypto. Voor het creëren van een privésleutel wordt namelijk een willekeurig getal genomen waaruit een privé sleutel wordt gegenereerd, waarop vervolgens een publiek adres op wordt gebaseerd. Wanneer het willekeurige getal niet willekeurig is, is de uitkomst van zowel de private key als het publieke adres iedere keer hetzelfde.
Gebruikers die sleutelparen na 17 augustus 2018 hebben gegenereerd doen er goed aan om de opgeslagen cryptovaluta direct naar een ander wallet-adres te sturen.
Met de onduidelijkheid omtrent de reden voor de fout in de code is het een goed idee om het zekere voor het onzekere te nemen. Laat daarom WalletGenerator.net op dit moment links liggen.