Trovata anomalia in un sito web per paper wallet
Trovata anomalia in un sito web per paper wallet
Blockchain

Trovata anomalia in un sito web per paper wallet

By Emanuele Pagliari - 28 Mag 2019

Chevron down

Harry Denley, ricercatore del reparto sicurezza del noto wallet MyCrypto.com (un fork di MyEtherwallet), ha effettuato uno studio approfondito su di un sito web utilizzato per generare paper wallet.

Read this article in the English version here.

Il sito in questione è WalletGenerator e, stando ai dati pubblicati, pare che il generatore utilizzato per creare la chiave privata presenti alcune anomalie.

Eseguendo diversi test, infatti, sono state più volte generate le medesime chiavi private, anche su PC e browser diversi.

Chiavi private dei paper wallet a rischio duplicazione

Harry Denley ha scoperto che lo strumento utilizzato per ottenere il giusto tasso di entropia utilizzando alcune componenti derivanti dal client presenta alcuni malfunzionamenti.

In dettaglio, pare che il sistema che si occupa di generare dati casuali abbia smesso di utilizzare uno dei due set (quello proveniente dal client, ovvero il PC dell’utente) dallo scorso 17 agosto 2018.

Di conseguenza, sono state generate diverse chiavi private utilizzando il medesimo set interno di dati pseudocasuali, con l’elevata possibilità che più utenti abbiano ottenuto il medesimo SEED.

Stando ai test effettuati, utilizzando lo strumento direttamente dal repository Github, sono state generate correttamente mille chiavi private diverse.

Tuttavia, utilizzando il sito web WalletGenerator nel periodo compreso fra il 18 maggio ed il 23 maggio 2019, su mille tentativi sono state generate solamente 120 chiavi univoche.

I test sono stati eseguiti con dispositivi differenti, utilizzando anche VPN, browser e location diverse, ma il sistema ha utilizzato solamente il set di dati pseudocasuali interno piuttosto che quello del client.

Proprio per questo motivo, Harry ha ottenuto solo 120 SEED univoci. I test sono stati eseguiti nuovamente lo scorso 24 maggio, e, stranamente, non sono state registrate anomalie. Tuttavia potrebbe trattarsi di una casualità.

“Stiamo ancora studiando ed analizzando questa anomalia riscontrata nel generatore di paper wallet. Consigliamo dunque agli utenti che hanno creato la loro chiave privata su tale sito web a partire dal 17 agosto 2018 di spostare immediatamente i propri fondi. Sconsigliamo fortemente di utilizzare WalletGenerator.net”.

Emanuele Pagliari
Emanuele Pagliari

Ingegnere delle telecomunicazioni appassionato di tecnologia. La sua avventura nel mondo del blogging è iniziata su GizChina.it nel 2014 per poi proseguire su LFFL.org e GizBlog.it. Emanuele è nel mondo delle criptovalute come miner dal 2013 ed ad oggi segue gli aspetti tecnici legati alla blockchain, crittografia e dApp, anche per applicazioni nell'ambito dell'Internet of Things

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.