Критическая уязвимость: BitClout хранит приватные ключи в файлах cookie

6 месяцев назад   •   1 мин чтения

Автор: Nik McFly

8-го апреля блокчейн-разработчик Джеймс Прествич опубликовал в своем твиттере скандальную серию твитов об информационной уязвимости BitClout.

Приводим полный перевод твитов на русский язык:

BitClout загружает ваши ключи на свой сервер при каждом запросе API. Любой сотрудник, у которого есть доступ к этому серверу, может украсть все деньги с платформы в любое время.

@nadertheory и команда слишком некомпетентны, чтобы создать кошелек в браузере, поэтому решили этого не делать 🤷‍♀️

10 итераций pbkdf 💀 (прим. ред.: стандарт формирования ключа на основе пароля).

_Каждый пользователь_ предоставил свои ключи серверу BitClout API.

Мне было интересно, почему я не могу найти логику построения tx во внешнем интерфейсе. Оказывается, это потому, что они публикуют ключ к API, чтобы API мог подписаться за вас.

Очень вежливо с их стороны взять на хранение ваши средства, не сказав вам об этом.

Смотрите на пользователей? Это загрузка ключа.

Читаете пост? Ключ загружен.

Проверяете свои личные сообщения? Вам лучше поверить, что они загрузили ваш ключ.

Если вы использовали эту сид-фразу ГДЕ-ЛИБО, то вы должны считать ее скомпрометированной и переводить средства на новые адреса из новой сид-фразы.

В качестве напоминания:

_НИКОГДА_ не вставляйте свой ключ на веб-страницу.


В комментариях пользователь cryptopopotamus также отмечает, что

«обработка пользовательских ключей, вероятно, делает их компанией, которая предоставляет услуги денежных переводов».

От представителей BitClout никаких ответных комментариев на момент публикации не последовало.

Редакция ProBitClout предупреждает: записывайте и храните вашу сид-фразу из 12 слов в надежном месте. Не сообщайте её никому и не передавайте в открытом виде через интернет.


UPD: Разработчики BitClout прокомментировали слухи в Twitter через BitClout-профиль @diamondhands

Spread the word