MyCrypto.com 的研究员 Harry Denley 对比特币(Bitcoin)钱包网站 WalletGenerator.net 进行了详细的分析,并发表报告,建议用户如果曾使用 WalletGenerator.net 生成的比特币纸钱包(Paper Wallet),应该尽快从其中转移资金到其他地方。
分析的重点在于 WalletGenerator 上传到 Github 上的开源代码。直到去年 8 月 17 日,在线代码与开源代码都是一致的,项目是使用比特币客户端技术生成钱包,该技术采用真正的随机字串并生成一个独特的钱包。但是从某日开始,开源代码与网站的代码不再一样。
基于这点, 研究人员怀疑 WalletGenerator 非常有可能为多个用户提供相同的私钥。为了测试这一点,MyCrypto 的研究人员利用了这个生成器并获得了一些奇怪的结果。
他指,他们利用该生成器生成 1000 个私钥。在非恶意的 GitHub 版本代码中,我们获得了 1000 个独一无二的私钥,是正常的钱包和私钥生成过程。如同预期的一样。
Denley 指,如在本年 5 月 1 日到 本年 5 月 23 日之间的不同时间使用 WalletGenerator.net,他们只能获得 120 个独一无二的私钥。然后他们刷新浏览器,切换 VPN 位址执行相同的测试,则生成了另一组不同的 120 个私钥。
虽然上周五,即 5 月 24 日,没有再次发现奇怪的异动,但在这个网站上同样问题可能随时再次发生。
他们仍在考虑这种疑点,并建议在 2018 年 8 月 17 日之后利用 WalletGenerator.net 产生公钥或私钥对的用户,转移他们的资金到另外可靠的钱包中。
Denley 说:“即使现时的代码可能暂时没有问题,我们仍不建议继续使用 WalletGenerator.net。”
由于没有明确的方式来联系运行该网站的营运者,用户也未必能时刻检查代码是否安全。为安全着想,Denley 建议最好完全避免使用该网站。