MyCrypto.com 的研究員 Harry Denley 對比特幣(Bitcoin)錢包網站 WalletGenerator.net 進行了詳細的分析,並發表報告,建議用戶如果曾使用 WalletGenerator.net 生成的比特幣紙錢包(Paper Wallet),應該盡快從其中轉移資金到其他地方。
分析的重點在於 WalletGenerator 上傳到 Github 上的開源代碼。直到去年 8 月 17 日,在線代碼與開源代碼都是一致的,項目是使用比特幣客戶端技術生成錢包,該技術採用真正的隨機字串並生成一個獨特的錢包。但是從某日開始,開源代碼與網站的代碼不再一樣。
基於這點, 研究人員懷疑 WalletGenerator 非常有可能為多個用戶提供相同的私鑰。為了測試這一點,MyCrypto 的研究人員利用了這個生成器並獲得了一些奇怪的結果。
他指,他們利用該生成器生成 1000 個私鑰。在非惡意的 GitHub 版本代碼中,我們獲得了 1000 個獨一無二的私鑰,是正常的錢包和私鑰生成過程。如同預期的一樣。
Denley 指,如在本年 5 月 1 日到 本年 5 月 23 日之間的不同時間使用 WalletGenerator.net,他們只能獲得 120 個獨一無二的私鑰。然後他們刷新瀏覽器,切換 VPN 位址執行相同的測試,則生成了另一組不同的 120 個私鑰。
雖然上週五,即 5 月 24 日,沒有再次發現奇怪的異動,但在這個網站上同樣問題可能隨時再次發生。
他們仍在考慮這種疑點,並建議在 2018 年 8 月 17 日之後利用 WalletGenerator.net 產生公鑰或私鑰對的用戶,轉移他們的資金到另外可靠的錢包中。
Denley 說:「即使現時的代碼可能暫時沒有問題,我們仍不建議繼續使用 WalletGenerator.net。」
由於沒有明確的方式來聯繫運行該網站的營運者,用戶也未必能時刻檢查代碼是否安全。為安全著想,Denley 建議最好完全避免使用該網站。