Il Paper Wallet WalletGenerator.net genera la stessa chiave per più utenti

di


Postato


- -

Il paper wallet viene considerato il più sicuro, ma cosa succede se il software usato per generare il portafoglio di carta è "fallato"?

Il generatore di paper wallet WalletGenerator.net conterrebbe un pezzo di codice informatico capace di generare due volte la stessa chiave privata. A dirlo il ricercatore di MyCrypto.com Harry Denley, il quale spiega nel dettaglio tutta la vicenda in un post su Medium.

In breve c'è da sapere che: se hai usato WalletGenerator.net, dal 17 agosto 2018 ad oggi, per creare paper wallet, i tuoi fondi potrebbero essere a rischio, molto serio. 🚨

Sposta immediatamente quelle criptovalute su di un altro wallet.

 

Conserva le Crypto al sicuro

Gli hardware wallet sono i dispositivi migliori dove conservare le criptovalute al sicuro. I Ledger wallet conservano 1.250 criptovalute e token.

Prendi il tuo modello →

Paper Wallet WalletGenerator.net: cos'è successo?

Il Paper Wallet WalletGenerator.net sarebbe in grado di generare due volte la stessa coppia di chiavi fornita agli utenti.

Non solo, la coppia di chiavi potrebbe essere stata potenzialmente conservata lato server.

Una scoperta grave, che Harry dice di aver subito comunicato al proprietario del sito informandolo via email.

Il ricercatore è molto preciso nel suo post, riferisce di avere informato il proprietario di walletgenerator.net il 22 maggio 2019 e di aver ricevuto una risposta il 23 maggio. Quest'ultimo gli avrebbe scritto di non essere in grado di risolvere il problema.

La strana mossa

Harry riporta anche una "strana mossa" compiuta dal proprietario di walletgenerator.net. Anche se questi si è detto non in grado di apportare la modifica, ha modificato il codice sorgente dell'applicativo lo stesso giorno in cui ha ricevuto la mail. Il nuovo codice, riporta sempre Harry, non contiene più il codice pericoloso.

Harry conclude che probabilmente non si è trattato di una vulnerabilità, ma di un codice malevolo appositamente introdotto nell'applicativo affinché potesse generare due volte la stessa coppia di chiavi.

Naturalmente Harry non è nella posizione di poter dire se c'è stata una intenzione fraudolenta da parte di qualcuno, ma si limita ad analizzare i fatti.

Il test condotto dal ricercatore, si riferisce in particolare agli indirizzi generati online direttamente sul sito web.

Un diverso codice su GitHub

Harry riporta anche che il sito web è stato acquistato due anni fa da una nuova persona, ed aggiunge che l'applicativo presente su GitHub non è affetto dal codice malevolo.

Quindi, l'applicativo originale che si trova all'indirizzo https://github.com/walletgeneratornet/WalletGenerator.net, non è vulnerabile.

Harry ha verificato la versione del software fornita attraverso il server del sito WalletGenerator.net, cioè la versione servita online, ed ha scoperto qualcosa che gli ha fatto sbarrare gli occhi. 😲

Quello che ha scoperto è incredibile

In parole semplici, quando un software generatore di paper wallet genera la coppia di chiavi, dovrebbe generarla casualmente in locale.

Invece il ricercatore ha scoperto che la coppia di chiavi veniva generata da una immagine .png lato server.

Questo potrebbe significare che le coppie di chiavi non venivano generate casualmente, ma fornite da un server. E per quale motivo ciò avveniva?

La risposta più semplice è che chi ha architettato questo sofisticato sistema aveva copia delle chiavi per poter così rubare i fondi agli ignari utenti.

In altre parole: WalletGenerator.net aveva le chiavi del paper wallet già pronte, mentre fingeva di generarle casualmente.

Il video che mostra il test

Il video qui sotto mostra il test fatto da Harry, il ricercatore ha generato 1000 chiavi: solo 120 sono risultate essere diverse. 😱

Non è colpa dei paper wallet

Ciò non significa che tutti i paper wallet sono vulnerabili: no.

Significa che bisogna stare attenti, molto attenti, a non usare mai i generatori di paper wallet online.

I paper wallet non si generano online, ma disconnettendo il PC/notebook da internet. E questo non è tutto, perché la procedura vorrebbe che si usasse un PC mai connesso a internet e di cui si è certi non esserci traccia di virus o malware.

In alternativa si può sempre optare per un hardware wallet, il quale offre alte garanzie di sicurezza, oltre che essere un metodo di conservazione delle criptovalute decisamente meno complesso da mettere in pratica e da gestire.

Per i tecnici, qui tutta la spiegazione.



Foto Fabio Carbone: autore articolo
Fabio Carbone
Scrittore web tecnico ma versatile, scrive di criptovalute e blockchain per quotidiani online, siti di settore e aziende. Ha seguito un corso accademico sull'Industria 4.0 applicata al Business; ha ottenuto una certificazione blockchain professionale.
Ghost writer all'occorrenza ed amante delle tartarughe d'acqua dolce, nel tempo libero cura il blog www.rugatartaruga.eu.
Per contatti professionali: LinkedInTelegram.

Ledger Nano X

Articoli da Leggere

Exchange Coinbase

8 euro in omaggio sul primo cambio.

Leggi Tutto →
Paper Wallet WalletGenerator.net Genera stessa chiave

Il Paper Wallet WalletGenerator.net non è sicuro. Lo rivela un ricercatore di MyCrypto.com. Ecco cos'è successo.

Leggi Tutto →