
Обнаружена уязвимость в кошельках, угрожающая миллионам активов
Исследователи Coinspect обнаружили уязвимость, приведшую к утечке $3 млн. Под угрозой оказались десятки тысяч кошельков в популярных сетях.
Критическая уязвимость в криптокошельках
Эксперты по блокчейну Coinspect сообщили о слабости в алгоритме генерации сид-фраз, которая позволяет злоумышленникам восстанавливать приватные ключи. Проблема уже привела к утрате $3 млн активов. По данным анализа, уязвимость затронула десятки тысяч кошельков в следующих сетях:
| Сеть | Ущерб ($) |
|---|---|
| Биткоин | ~2,57 млн |
| Ethereum | ~285,7 тыс. |
| Rootstock | ~177,2 тыс. |
| Tron | ~80,9 тыс. |
| Polygon | ~23,4 тыс. |
Как работает уязвимость
Слабость заключается в низкой энтропии при создании сид-фраз. Это сужает пространство возможных комбинаций, позволяя злоумышленникам использовать метод перебора для восстановления приватных ключей. Исследователи проанализировали 2114 адресов, но подчеркнули, что это лишь часть потенциально затронутых кошельков.
История угрозы
Согласно данным Coinspect, уязвимость существует как минимум с 2018 года. Несмотря на это, пользователи продолжали создавать уязвимые кошельки до последних месяцев. Активность анализируемых адресов фиксировалась с сентября 2018 по май 2026 года.
Технические детали
Разработчики Coinspect не раскрыли подробности уязвимости, чтобы не дать злоумышленникам использовать её. Вместо этого они выпустили инструмент для проверки кошельков и передали информацию разработчикам популярных программных решений. Также к расследованию присоединился проект SlowMist.
Последствия
4 июля, спустя несколько часов после публикации предупреждения, с уязвимых кошельков были выведены ещё $2 млн. Специалисты допускают, что часть средств была перемещена владельцами самостоятельно. Основная группа риска — это мобильные приложения с низкой популярностью, а не аппаратные решения или ведущие программные платформы.