Harry Denley, ricercatore del reparto sicurezza del noto wallet MyCrypto.com (un fork di MyEtherwallet), ha effettuato uno studio approfondito su di un sito web utilizzato per generare paper wallet.

Read this article in the English version here.

Il sito in questione è WalletGenerator e, stando ai dati pubblicati, pare che il generatore utilizzato per creare la chiave privata presenti alcune anomalie.

Eseguendo diversi test, infatti, sono state più volte generate le medesime chiavi private, anche su PC e browser diversi.

Chiavi private dei paper wallet a rischio duplicazione

Harry Denley ha scoperto che lo strumento utilizzato per ottenere il giusto tasso di entropia utilizzando alcune componenti derivanti dal client presenta alcuni malfunzionamenti.

In dettaglio, pare che il sistema che si occupa di generare dati casuali abbia smesso di utilizzare uno dei due set (quello proveniente dal client, ovvero il PC dell’utente) dallo scorso 17 agosto 2018.

Di conseguenza, sono state generate diverse chiavi private utilizzando il medesimo set interno di dati pseudocasuali, con l’elevata possibilità che più utenti abbiano ottenuto il medesimo SEED.

Stando ai test effettuati, utilizzando lo strumento direttamente dal repository Github, sono state generate correttamente mille chiavi private diverse.

Tuttavia, utilizzando il sito web WalletGenerator nel periodo compreso fra il 18 maggio ed il 23 maggio 2019, su mille tentativi sono state generate solamente 120 chiavi univoche.

I test sono stati eseguiti con dispositivi differenti, utilizzando anche VPN, browser e location diverse, ma il sistema ha utilizzato solamente il set di dati pseudocasuali interno piuttosto che quello del client.

Proprio per questo motivo, Harry ha ottenuto solo 120 SEED univoci. I test sono stati eseguiti nuovamente lo scorso 24 maggio, e, stranamente, non sono state registrate anomalie. Tuttavia potrebbe trattarsi di una casualità.

“Stiamo ancora studiando ed analizzando questa anomalia riscontrata nel generatore di paper wallet. Consigliamo dunque agli utenti che hanno creato la loro chiave privata su tale sito web a partire dal 17 agosto 2018 di spostare immediatamente i propri fondi. Sconsigliamo fortemente di utilizzare WalletGenerator.net”.