RaiBlocks于2018年1月改名为NANO,最近它发布了一份声明,提醒用户注意安卓钱包的漏洞,敦促他们将资金转移到一个新的钱包上。
用户可以使用安卓版本的Nano 1.0.2钱包,该钱包几个小时前才发布。
这个漏洞源于Random.java类随机的使用,它被用来生成一个密码安全的伪随机数字流。开发团队似乎忽视了这个漏洞并且在此之前完全被发现。
根据Nanex的CEO的一个reddit帖子,随机方法使用了’java.util.random’类的当前时间和设备内存地址的组合。
public Random() {
internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));
}
该代码生成64个随机整数, 将它们转换为十六进制格式, 然后使用结果中的前64个字符。一个可能的修补程序推荐使用 SecureRandom 方法, 它比正式的 java 文档更安全。
java 文档明确提到以下内容: “java.util.Random 的实例不是加密的安全的。请考虑使用 SecureRandom 获取加密安全的伪随机数生成器, 以供安全敏感的应用程序使用。
实际上, 您在安卓手机上运行了一个恶意进程,这样就可以了访问内存地址空间, 这是应用程序或进程可以访问设备中的内存。因此会导致你的NANO钱包被破坏。
但是, 用户继续指出, 除非实际使用此攻击向量, 否则您的钱包受到破坏的可能性极小。
然而, 这是一个安全的做法, 强烈建议把你的NANO资金转移到一个不同的钱包中去。NANO小组目前正在修补钱包, 以使其密码更加安全,。
到目前为止,Nano的表现一直很糟糕,因为它的高调攻击导致了1700万枚代币被偷, 其次是 BitGrail 和Nano团队仍然保持他们无过错的立场。但是已经出现了一系列的迂回曲折,包括BitGrail的联合创始人弗朗西斯·科费拉诺,他要求NANO团队使用NANO区块链,有效地恢复被盗的资金。
长期以来, BitGrail 在交易所利基市场保持低调, 这给零售交易商带来了很大的痛苦, 其中包括一个在他输掉的交易中持有140万美元的 NANO 的用户。在一个 reddit 的帖子中, 用户接着解释说, 10 比特币/天的提款限制严重影响了他, 当它被减少到1比特币/天,甚至无法提款时,BitGrail因为没有给出任何说明。
