一些用户报告他们钱包中的比特币消失了。仔细检查后发现相同的随机值在这些地址上被用来签名交易并且这些交易全来自于Blockchain.info的钱 包服务。这些交易发生在几个星期的时间,所以这显然不是一个新的漏洞。在评估情况后修补问题,Blockchain.info发表这样的声明:
杰西·詹姆斯(Jesse James)告诉我使用blockchain.info javascript系列的客户在初始化背景webworker任务时受到不良的种子侵害。交易时使用一些浏览器可能导致重复的R值(火狐可能尤其脆弱)。而这个问题只影响交易代码的签名,不会影响私有密钥的生成。
已经有效利用补丁了,请确保你升级你的Blockchain.info客户端到最新版本。
Chrome (谷歌公司开发的一种互联网浏览器)- v2.85升级
火狐–V1.97升级
–v0.11 MAC客户端
网页用户界面在下次登录前应该清除他们浏览器的缓存。
在适当的地方修补后,杰西·詹姆斯发布一个关于脆弱的随机数字漏洞的地址的详细列表。
据报道,所有被盗的比特币都去了相同的地址,似乎已包含了1.8 BTC,Blockchain.info已经替换了由于他们的安全缺陷造成比特币丢失的随即数字了。如Android的缺陷一样,我们推荐相同的方法保护脆弱的地址:
1. 在另一个应用程序生成新地址。
3. 通知所有的用户你的旧地址已经改变,使受损的地址不再接收更多的比特币。
翻译:苏言Summr
原文地址:https://thegenesisblock.com/javascript-random-number-flaw-leads-to-bitcoin-thefts/
转自比特币之家