Pare che WalletGenerator.net, generatore in rete di paper wallet per criptovalute, abbia fornito a molteplici utenti la medesima combinazione di chiave privata e pubblica. Questa vulnerabilità è stata recentemente svelata al pubblico da Harry Denley, esperto di sicurezza dell'azienda MyCrypto.
L'uomo afferma che il codice malevolo è presente sulla piattaforma sin da agosto dello scorso anno, ed è stato risolto soltanto questo mese. Il codice alla base del servizio dovrebbe essere open-source e liberamente consultabile su GitHub, ma pare fossero presenti delle differenze fra le due versioni. Dopo un'accurata ricerca, Denley è arrivato alla conclusione che sul sito le chiavi venivano generate in maniera deterministica, non casuale.
In uno dei propri test, MyCrypto ha generato un blocco di 1.000 chiavi. La versione su GitHub ha restituito 1.000 chiavi differenti, mentre il portale in rete soltanto 120. Anche apportando modifiche a svariati fattori, ad esempio riavviando il browser o variando i dati del servizio VPN, venivano comunque fornite 120 chiavi differenti.
All'interno del resoconto, Denley spiega:
"Quando si genera una chiave viene preso un numero estremamente casuale, lo si trasforma in una chiave privata, e a partire da questa viene creato un indirizzo pubblico. Tuttavia, se il numero 'estremamente casuale' è sempre '5', verrà generata sempre la stessa chiave privata. Ecco perché è molto importante che il numero casuale sia effettivamente casuale... e non 5."
MyCrypto consiglia infine agli utenti che hanno generato chiavi private su WalletGenerator.net dopo il 17 agosto 2018 di spostare immediatamente i propri fondi su un wallet differente.