WalletGenerator.net، خالق کیف پول کاغذی ارزهای دیجیتال آنلاین است که قبلا بر روی کد اجرا می شد و باعث شده بود که جفت کلید خصوصی / کلید عمومی برای چندین کاربر صادر شود. این آسیب پذیری در روز ۲۴ ماه می توسط هری دنلی (Harry Denley) از پلتفرم MyCrypto در یک پست وبلاگ رسمی منتشر شد.
بر اساس این پست، تاثیر این کد مخرب در اواخر سال ۲۰۱۸ نمایان شده است و تنها مدتی است که برطرف شده است (۲۳ ماه می). طبق گفته ها، این کد فعال در وب سایت، متن باز بوده و در GitHub مورد رسیدگی قرار گرفته است، اما بین آنها تفاوت هایی وجود دارد. پس از بررسی کد فعال، دنلی نتیجه گرفت که کلیدها به طور قطعی بر روی نسخهی فعال وب سایت ایجاد شده است، نه به صورت تصادفی.
در یکی از آزمایش های MyCrypto در تاریخ ۱۸ تا ۲۳ ماه می، آنها تلاش کردند که از ۱۰۰۰ ژنراتور وب سایت برای ساخت ۱۰۰۰ کلید استفاده کنند. نسخهی GitHub توانست ۱۰۰۰ کلید منحصر به فرد را بازگرداند، اما کد فعال، ۱۲۰ کلید را بازگرداند. گفتنی است که ادارهی چندین ژنراتور، معمولا ۱۲۰ کلید منحصر به فرد را به جای ۱۰۰۰ کلید بازمی گرداند، حتی زمانی که سایر عوامل به کار رفته، از جمله مرورگرهای تازه، تغییرات VPN یا تغییرات کاربر، تقویت شده بودند.
اعداد تصادفی برای تولید جفت کلید لازم است تا کیف پول کاغذی امن باشد. همانطور که در این پست اشاره شده است:
ELI5: هنگامی که یک کلید ایجاد می کنید، تصادفی ترین عدد تصادفی را انتخاب می کنید، آن را به کلید خصوصی تبدیل می کنید و آن کلید خصوصی را به کلید عمومی / آدرس عمومی تبدیل می کنید. با این حال، اگر “تصادفی ترین عدد تصادفی” همیشه ۵ باشد، کلید خصوصی که تولید شده همیشه یکسان خواهد بود. به همین دلیل بسیار مهم است که تصادفی ترین عدد تصادفی در واقع تصادفی بوده و عدد ۵ نباشد.
WalletGenerator پس از اینکه MyCrypto به اواسط تحقیقات خود رسید، مشکل جبرگرایی را رفع کرد. و پس از آن عنوان کرد که اتهاماتش مورد تائید نیست.
MyCrypto اضافه كرد كه كاربراني كه پس از ۱۷ آگوست ۲۰۱۸ جفت كليد توليد مي كنند، بايد بلافاصله وجوه خود را به يك كيف پول متفاوت انتقال دهند و توصیه كرد كه از Wallet Generator.net استفاده نكنند.