Criador de carteira de papel de criptomoeda online WalletGetator.net, executou código que fazia com que pares de chaves privadas/chaves públicas fossem emitidos para vários usuários. A vulnerabilidade foi descrita em um post oficial pela pesquisa de segurança Harry Denley, da MyCrypto, em 24 de maio.
De acordo com o post, o código defeituoso estava em vigor em agosto de 2018, e só foi recentemente corrigido em 23 de maio. O código ao vivo no site supostamente é open source e auditado no GitHub, mas houve diferenças detectadas entre os dois. Depois de pesquisar o código ao vivo, Denley concluiu que as chaves foram geradas de forma determinista no site, não aleatoriamente.
Em um dos testes do MyCrypto, entre 18 e 23 de maio, eles tentaram usar o gerador em massa do site para gerar 1.000 chaves. A versão do GitHub retornou 1.000 chaves exclusivas, mas o código ao vivo retornou 120 chaves. A execução do gerador em massa sempre retornou 120 chaves exclusivas em vez de 1.000, mesmo quando outros fatores foram alterados, incluindo atualizações do navegador, alterações de VPN ou alterações do usuário.
O WalletGenerator corrigiu o problema do determinismo depois que o MyCrypto entrou em contato no meio de sua investigação. WalletGenerator supostamente respondeu depois dizendo que as alegações não puderam ser verificadas, e até mesmo perguntou ao correspondente se MyCrypto era um “site de phishing”.
MyCrypto adicionou que os usuários que geraram os keypairs depois de 17 de agosto de 2018 devem transferir imediatamente seus fundos para uma carteira diferente e recomendaram não usar o WalletGenerator.net.
