Разработчики мобильного криптокошелька Nano были вынуждены отозвать его из Google Play, после того как обнаружили в приложении уязвимость, угрожающую монетам пользователя. Новая версия программы с патчем появилась через несколько часов, однако в результате инцидента курс цифровой валюты снизился на 8%.

Компания Nano Wallet Company работала над мобильными кошельками для Android, iOs, macOS, Windows и Linux в течение последнего года. Долгожданный релиз состоялся 20 июня, однако уже на следующий день версию для операционной системы Google удалили из магазина приложений, а разработчики выпустили предупреждение для пользователей.

«Все, кто успел сгенерировать ключевую фразу при помощи этого кошелька, должен немедленно перевести деньги на другой счет с новым seed-ключом», — говорится в сообщении, опубликованном на странице Nano в Twitter.

Создатели программы не сообщают, с чем связана уязвимость. По информации экспертов, случайная последовательность символов, которую используют для генерации ключа, оказалась не такой уж случайной и могла быть подобрана злоумышленниками.

Компания выложила новую версию приложения для Android с временной заплаткой в течение нескольких часов и пообещала представить полностью исправленный вариант в ближайшие дни. Один из ключевых разработчиков проекта Зак Шапиро (Zack Shapiro) подчеркнул, что команда осознает свою ответственность и сделает правильные выводы из произошедшего.

В обсуждении на reddit представители Nano заявили, что эксплуатация уязвимости представляется им маловероятной, поскольку для взлома кошелька злоумышленнику необходимо установить дополнительное вредоносное ПО на устройство жертвы. Правда, впоследствии сообщение удалили.

Несмотря на оперативный выпуск обновления, инцидент повлиял на курс Nano. Сразу после сообщений о проблемах с приложением цена валюты на бирже снизилась с $3,21 за монету до $2,57.

Другие разработчики криптокошельков не так быстро реагируют на сообщения об ошибках. В январе этого года создатели приложения для хранения биткойнов Electrum закрыли брешь, просуществовавшую в программе почти два года. Разработчики выпустили патч под давлением пользователей системы и экспертов по информационной безопасности.

Категории: Главное, Уязвимости