WalletGenerator.net – potenzielle Sicherheitslücke offengelegt

Der Computerwissenschaftler Harry Denley hat auf MyCrypto ein Sicherheitsrisiko bei der Plattform WalletGenerator.net identifiziert. Wie der Experte hervorhebt, sind alle Nutzer, die den Services seit dem 17. August 2018 in Anspruch genommen haben, von dieser Sicherheitslücke betroffen. Gemäß der Empfehlung sollten die Anleger die gespeicherten Werte stattdessen an eine sichere Adresse übertragen. 

Bitcoin Paper Wallet Abbildung
Bitcoin Paper Wallet Abbildung @wikimedia.org

Fehlerhafter Code ermöglicht die Mehrfachvergabe eines Passworts

Wie Harry Denley, ein Computerwissenschaftler, in einem Beitrag auf MyCrypto mitteilt, sind die Nutzer der Plattform WalletGenerator.net von einem Sicherheitsrisiko betroffen. Demnach existiert eine Schwachstelle im Quellcode, sodass sich Passwörter mehrfach vergeben oder manipulieren lassen. Der Experte empfiehlt betroffenen Nutzern den Wechsel der Wallet. Zudem hebt Denley hervor, dass es bisher keine öffentlichen Missbräuche der identifizierten Schwachstelle gäbe. 

Der Programmierer hebt zwar hervor, dass Paper Wallets an sich besonders sicher seien. Dennoch sollten Nutzer einen kritischen Blick auf die Generierung privater und öffentlicher Schlüssel werfen. Historisch betrachtet sei die Generierung eines Schlüssels über eine solche Plattform nicht empfehlenswert. Ein Zufallsgenerator bietet einen Spielraum zur statistischen Berechnung des erstellten Passworts – ein solches Risiko könnte zum Verlust sämtlicher Einlagen führen. 

Details zur Sicherheitslücke veröffentlicht 

Beim WalletGenerator handelt es sich um eine Website, welche bei der Generierung von Paper Wallets für ausgewählte Kryptowährungen unterstützt. Der genutzte Code ist dabei Open-Source und geprüft. Nichtsdestotrotz wechselte das gesamte Projekt vor rund zwei Jahren den Eigentümer. Nun gab Denley bekannt, dass der Code der Website vom avisierten Code abweiche. Auch wenn der vorliegende Code weder schädlich noch angreifbar ist, ließ sich nicht beweisen, dass kein Betrug stattgefunden hat. Zudem steht bisher noch nicht fest,  ob der neue oder alte Projektbesitzer für die Veränderung des Quellcodes verantwortlich ist. 

Im Zuge der Untersuchung überprüften die Entwickler die Differenzen zwischen den beiden vorliegenden Codes. Demnach kommt eine XHR-Anforderung zu Ausführung, um die Abbildung der Coins zu erhalten. Dieser Zwischenschritt sei verwirrend, da  die Abbildung des Tokens bereits durch den Browser beim Abruf der Website geladen wird. Demnach sollte kein weiterer Abruf des Bildes stattfinden. Vielmehr verdeutlichte ein genauer Blick auf die Codezeile, dass die Bilddaten dazu genutzt dienen, die Zufallsfunktion des Generators abzurufen. Demnach sollte die sichere Zufallsfunktion Daten des Browsers und nicht des Bildes zur Ausführung nutzen. Aufgrund dieses Ansatzes ist die Zufälligkeit der Zufallsfunktion stark limitiert. Vielmehr stellen die generierten Codes keinen Zufall mehr dar und verlieren somit an Sicherheit. Des Weiteren fügten die Entwickler eine zusätzliche Funktion ein. Bei der neuen Funktion handelt es sich um SecureRandomAdvanced. Diese Funktion fordert den Besitzer auf die Maus während der Codegenerierung zu bewegen – die erhobenen Daten finden hierbei keinerlei Anwendung. 

Durch WalletGenerator.net erstellte Wallets meiden

Aus Testzwecken hat der Experte mehrere Keys generiert. Dabei ist aufgefallen, dass die entsprechenden Dateien überdurchschnittlich groß sind. Zudem generiert die Software eigene Schlüssel für jeden Server und für die entsprechenden Bilder. Bei der Schlüsselgenerierung mit mehreren VPNs fiel auf, dass sich die Verschlüsselungen stark ähnelten, wenn sich die IP-Adressen einer Region zuordnen lassen. 

Im direkten Vergleich griff der Experte auch auf den Generator der Bulk Wallet zurück, um 1.000 Keys zu generieren. Hierbei gab es keinerlei Besonderheiten und alle Schlüssel waren eindeutig und einzigartig. Bei WalletGenerator.net lag die Quote der einzigartigen Schlüssel lediglich bei 12 Prozent. Nach dem Wechsel des Servers über einen VPN ließen sich weitere 120 einzigartige Schlüssel generieren. Der schadhafte Code wurde laut den Experten spätestens am 25. August 2018 implementiert, sodass ein Wechsel der Wallet zur Sicherung der Einlagen zu empfehlen ist.