NANO émet une alerte sur la vulnérabilité d’une application Android, exhorte les utilisateurs à déplacer des fonds

NANO, qui a récemment été rebaptisé RaiBlocks en janvier 2018, a publié une déclaration alertant les utilisateurs d’une vulnérabilité de leur portefeuille android, les invitant à déplacer leurs fonds vers un nouveau portefeuille.

Cela s’applique à tous ceux qui ont généré une graine de portefeuille en utilisant le portefeuille Android NANO, qui a été publié il y a quelques heures.

Le problème provient de l’utilisation de la classe Random.java qui est utilisée pour générer un flux de nombres pseudo-aléatoires cryptographiquement sécurisés. L’équipe de développement semble avoir négligé cela, et il est important de noter que ce problème n’a pas été découvert auparavant.

Selon un post  de reddit du PDG de Nanex, la méthode aléatoire utilise une combinaison de l’heure actuelle et de l’adresse mémoire de la classe ‘ java.util.Random ‘.

public Random() {

internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));

}

Le code génère 64 entiers aléatoires, les convertit au format hexadécimal, puis utilise les 64 premiers caractères du résultat. Une solution possible serait d’utiliser la méthode SecureRandom, qui est beaucoup plus sécurisée et recommandée selon les docs java officiels .

Les docs java mentionnent explicitement ce qui suit:

« Les instances de java.util.Randomne sont pas cryptographiquement sécurisées. Pensez plutôt SecureRandomà utiliser un générateur de nombres pseudo-aléatoires cryptographiquement sécurisé pour les applications sensibles à la sécurité. « 

Effectivement, vous auriez besoin d’un processus malveillant sur votre téléphone Android qui avait accès à l’espace d’adressage de la mémoire, qui est la mémoire dans un appareil auquel une application / processus a accès. Cela entraînerait la compromission de votre graine de porte-monnaie NANO.

Cependant, l’utilisateur ajoute que si ce vecteur d’attaque n’était pas réellement utilisé, la probabilité que votre graine soit compromise est minime.

Il s’agit cependant d’une pratique sûre et fortement recommandée pour transférer vos fonds NANO dans un portefeuille différent avec une nouvelle graine, juste pour que les utilisateurs soient du bon côté. L’équipe NANO corrige actuellement le portefeuille pour le sécuriser cryptographiquement, et l’avertissement a été émis immédiatement après l’avoir trouvé.

Nano a eu une mauvaise année jusqu’ici, avec le piratage BitGrail qui a fait 17 millions de pièces volées, suivi par BitGrail et l’équipe NANO qui maintenaient leur position qu’ils n’étaient pas en faute. Francesco Firano, cofondateur de BitGrail, a demandé à l’équipe de NANO de fourrer la chaîne de blocs NANO et de restaurer efficacement les fonds volés.

BitGrail, qui a longtemps gardé un profil bas dans la niche d’échange, a causé beaucoup de douleur pour les commerçants de détail, y compris un tel utilisateur qui a détenu 1,4 million de dollars en NANO sur la bourse qu’il a perdue. Dans un post de reddit, l’utilisateur a continué à expliquer que la limite de retrait de 10 bitcoin / jour l’affectait gravement, et cela n’aidait pas du tout quand il était réduit à 1 bitcoin / jour, avec un support qui ne répondait pas.

Please rate this

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *