NANO выпустил предупреждение об уязвимости приложений на Android

22.06.2018

Бренд NANO, это ребрендинг проекта Raiblockss, который прошёл в январе 2018 года.

Разработчики платформы предупредили пользователей об уязвимости приложений на Android и призывают владельцев токенов переместить свои средства на новый криптокошелёк.

Проблема уязвимости криптокошелька обнаружена оперативно

Это относится ко всем, кто сгенерировал закрытые ключи кошелька при помощи сервиса NANO Android, который был выпущен всего несколько часов назад.

Проблема связана, прежде всего, с применением класса Random.java, который применяется как генератор потока криптографических псевдослучайных чисел безопасности. Вероятней всего этот момент был упущен сео-разработчиками, что вызвало сбой в работе, однако ошибка была вовремя обнаружена.

В Reddit был опубликован пост от CEO Nanex, где даётся разъяснение, что случайный метод, применяет комбинацию текущего времени и адрес памяти устройства класса java.util.Random.


 public Random() { 
internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));
 }

Код генерирует 64 случайных числа, преобразует их в шестнадцатеричный формат, а затем использует первые 64 символа полученного итогового числа.

Вполне возможно для исправления будут использовать метод SecureRandom, который намного безопаснее и рекомендуется в соответствии с официальными документами java.

В java-документах даётся следующее пояснение:

«Экземпляры java.util.Random не являются криптографически безопасными. Вместо этого рекомендуем применять SecureRandom для получения криптографически безопасного генератора псевдослучайных чисел, применяющийся как элемент безопасности к чувствительным приложениям».

Пути исправления ошибок найдены

Фактически, вам понадобится вредоносный процесс, который уже запущен на вашем телефоне Android, ранее имевший доступ к адресному пространству памяти и являющийся по сути памятью устройства, к которому имеет доступ приложение или запущенный процесс.

В конечном итоге это приведёт к компрометации закрытого ключа NANO-кошелька.

Однако пользователь может и в дальнейшем продолжать работать, если вектор атаки фактически не применялся и вероятность того, что ваш ключ будет скомпрометирован — минимальна.

Общая рекомендация сервиса такова, всем пользователям настоятельно рекомендуется вывести средства NANO на новый кошелек, и с новым именем, таким образом, вы можете создать безопасность для криптоактивов. В настоящее время команда работает над устранением ошибки, и предупреждение было выпущено практически сразу же после обнаружения проблемы.

НАНО преследуют неудачи в новом году

У НАНО до сих пор продолжаются неприятности. Первый хакерский взлом был зафиксирован у BitGrail и начался с кражи 17 миллионов токенов.

Команда проекта не считает себя виноватой в хакерстве. После этих событий, основатель BitGrail Франческо Фирано (Francesco Firano) призвал НАНО раскошелиться на создание надёжного и безопасного блокчейна, чтобы можно было восстановить работоспособность платформы.

В биржевой нише BitGrail был всегда в нижней строчке и не вызывал интереса у криптоинвесторов. Сам обменник стал известен не столько астрономической кражей, сколько тем, что один из держателей NANO вмиг потерял $1,4 млн.

В Reddit от пострадавшего был даже пост, где он сообщал, что лимит вывода 10 биткоинов в день, очень сильно повлияло на его, и особенно в тот момент, когда обменник ввёл ограничение на вывод в размере 1 биткоина в день.

Пострадавший обращался в техподдержку, но не получил каких-то вразумительных разъяснений.