NANO emite una alerta sobre la vulnerabilidad de las aplicaciones de Android e insta a los usuarios a mover los fondos

NANO, que recientemente cambió el nombre de RaiBlocks en enero de 2018, emitió un comunicado alertando a los usuarios sobre una vulnerabilidad en su billetera Android, instándolos a mover sus fondos a una nueva billetera.

Esto aplica a cualquiera que haya generado una semilla de billetera usando la billetera NANO android, que fue lanzada hace solo unas horas.

El problema radica en el uso de la clase Random.java que se utiliza para generar una secuencia de números pseudoaleatorios criptográficamente seguros. El equipo de desarrollo parece haber pasado por alto esto, y es importante tener en cuenta que este problema no se descubrió previamente.

Según una publicación de reddit realizada por el CEO de Nanex, el método aleatorio usa una combinación de la hora actual y la dirección de memoria del dispositivo de la clase ‘java.util.Random’.

public Random() {

internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));

}

El código genera 64 enteros aleatorios, los convierte a un formato hexadecimal y luego utiliza los primeros 64 caracteres del resultado. Una posible solución sería usar el método SecureRandom, que es mucho más seguro y recomendado según los documentos oficiales de Java.

Los documentos de Java mencionan explícitamente lo siguiente:

“Las instancias de java.util.Random no son criptográficamente seguras. Considere usar SecureRandom para obtener un generador de números pseudoaleatorios criptográficamente seguro para uso de aplicaciones sensibles a la seguridad “.

Efectivamente, necesitaría un proceso malicioso en su teléfono Android que tuviera acceso al espacio de direcciones de la memoria, que es la memoria de un dispositivo al que tiene acceso una aplicación / proceso. Esto daría como resultado que su semilla NANO wallet se vea comprometida.

Sin embargo, el usuario continúa señalando que a menos que este vector de ataque se haya utilizado realmente, la probabilidad de que su semilla se vea comprometida es mínima.

Sin embargo, es una práctica segura y muy recomendada para mover sus fondos NANO en una billetera diferente con una nueva semilla, solo para que los usuarios estén en el lado seguro. El equipo de NANO actualmente está remendando la billetera para que sea criptográficamente segura, y la advertencia se emitió inmediatamente después de que la encontraron.

Nano ha tenido un mal año hasta el momento, con el truco BitGrail de alto perfil que resultó en el robo de 17 millones de monedas, seguido por BitGrail y el equipo NANO manteniendo su postura de que no tenían la culpa. Hubo varias series de giros y vueltas, incluido el cofundador de BitGrail, Francesco Firano, pidiéndole al equipo de NANO que bifurcara el blockchain de NANO, restaurando efectivamente los fondos robados.

BitGrail, que durante mucho tiempo ha mantenido un bajo perfil en el nicho de intercambio, ha causado mucho dolor a los comerciantes minoristas, incluido uno de esos usuarios que tenía $ 1.4 millones en NANO en el intercambio que perdió. En una publicación de reddit, el usuario explicó que el límite de extracción de 10 bitcoins por día lo afectó severamente, y no ayudó en absoluto cuando se redujo a 1 bitcoin / día, junto con el soporte que no responde.

Imagen destacada de Shutterstock.

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Suscríbete a nuestro Boletín de Noticias
Regístrese aquí para recibir las últimas noticias y actualizaciones directamente en su bandeja de entrada.
Puedes darte de baja en cualquier momento

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More