Krypto Pomocnik
"Portfel Jaxx luka w zabezpieczeniach"
Portfel Jaxx luka w zabezpieczeniach
Jaxx jest jednym z najpopularniejszych portfeli stosowanych przez zapaleńców tematu kryptowalut. Jednym z głównych powodów jest zwyczajna wygodna w jego użytkowaniu, możliwość przechowywania wielu kryptowalut na jednym portfelu i posiadanie tego samego portfela w wersji desktop na wiele systemów operacyjnych i mobilnej na systemy iOS i Android. Jaxx jest portfelem Hierarchically Deterministic jak MultiBitHD, co powoduje, że na podstawie recovery seed można odzyskać dostęp do wszystkich adresów wygenerowanych na koncie użytkownika. Mimo swoich zalet w użytkowaniu, należy pamiętać, że jest to portfel ograniczonym bezpieczeństwie i należy na nim przechowywać tylko i wyłącznie małe kwoty.
Sieć zadrżała po ostatnich atakach, gdy użytkownicy stracili prawie 400 tysięcy dolarów w różnych kryptowalutach właśnie z portfeli Jaxx. 10 czerwca portal vxlabs.com podał informację o luce w zabezpieczeniach Jaxx, która powoduje, że poprzez zdalny bądź fizyczny dostęp do komputera okradanego jest możliwa kradzież recovery seed niezależnie od faktu czy portfel był zabezpieczony kodem PIN, czy też nie. Sprawnemu hakerowi taka akcja może zająć nie minuty, a sekundy. Powagę sytuacji powoduje fakt, że sama aplikacja nie musi być uruchomiona, by doszło do skutecznej kradzieży seeda. Mając seed, taka osoba może bez naszej wiedzy odzyskać konto z wszystkimi kluczami prywatnymi. Jesteśmy w takim przypadku kompletnie bezradni.
Powodem takiej sytuacji jest fakt, że seed jest szyfrowany przy użyciu niezmiennego klucza szyfrującego, który jest umieszczony bezpośrednio w kodzie programu, zamiast mocnego hasła wybranego przez użytkownika ( jak w Electrum ) bądź zmiennego klucza. Powoduje to, że każdy przy wykorzystaniu bazy danych sqlite3 i wiedzy na temat kodowania może rozszyfrować i rozkodować całą frazę zabezpieczającą.
Problem znacząco nie przejęli się twórcy i developerzy portfela Jaxx. CTO projektu Nilang Vyas przyznał na Reddicie, że firma jest bardzo zadowolona z modelu zabezpieczeń, który zaproponowała w swoim produkcie i próbuje podpierać swoje zdanie liczbą aktualnych użytkowników. Co więcej, nie zamierzają oni zrobić nic, by naprawić obecny stan rzeczy, ponieważ uważają, że ich portfel broni się mobilnością i tłumaczy, że jest to „hot wallet” i jest on z góry przeznaczony do trzymania małych kwot. Aż dziwne, że Bitcoin Core i innych klientów core nie dotykają takie problemy, mimo iż po podłączeniu do sieci są one również portfelami gorącymi. Jego stanowisko pięknie podsumowuje cytat “Proszę, jeżeli nie odpowiada wam nasz model bezpieczeństwa, nie używajcie naszych produktów”.
Dyrektor techniczny Jaxx dalej informuje, że w przyszłości Jaxx będzie współpracował z portfelami sprzętowymi. Nie można się jednak oprzeć wrażeniu, że firma, która umywa ręce od problemów użytkowników, twierdząc, że „tak po prostu jest” jest delikatnie mówić nie bardzo w porządku. Na obecny stan sytuacji najlepszym zabezpieczeniem dla użytkowników portfela Jaxx w tym wypadku będzie zmiana portfela i zaprzestanie jego użytkowania aż do momentu wprowadzenia wsparcia portfeli sprzętowych.
Bez kategorii