1. 链一财经首页
  2. 资讯

NANO发布安卓应用程序漏洞警报,敦促用户移动资金

NANO发布安卓应用程序漏洞警报,敦促用户移动资金

RaiBlocks于2018年1月改名为NANO,最近它发布了一份声明,提醒用户注意安卓钱包的漏洞,敦促他们将资金转移到一个新的钱包上。

用户可以使用安卓版本的Nano 1.0.2钱包,该钱包几个小时前才发布。

这个漏洞源于Random.java类随机的使用,它被用来生成一个密码安全的伪随机数字流。开发团队似乎忽视了这个漏洞并且在此之前完全被发现。

根据Nanex的CEO的一个reddit帖子,随机方法使用了’java.util.random’类的当前时间和设备内存地址的组合。

public Random() {

internalSetSeed(
System.currentTimeMillis() + System.identityHashCode(this));

}

该代码生成64个随机整数, 将它们转换为十六进制格式, 然后使用结果中的前64个字符。一个可能的修补程序推荐使用 SecureRandom 方法, 它比正式的 java 文档更安全。

java 文档明确提到以下内容: “java.util.Random 的实例不是加密的安全的。请考虑使用 SecureRandom 获取加密安全的伪随机数生成器, 以供安全敏感的应用程序使用。

实际上, 您在安卓手机上运行了一个恶意进程,这样就可以了访问内存地址空间, 这是应用程序或进程可以访问设备中的内存。因此会导致你的NANO钱包被破坏。

但是, 用户继续指出, 除非实际使用此攻击向量, 否则您的钱包受到破坏的可能性极小。

然而, 这是一个安全的做法, 强烈建议把你的NANO资金转移到一个不同的钱包中去。NANO小组目前正在修补钱包, 以使其密码更加安全,。

到目前为止,Nano的表现一直很糟糕,因为它的高调攻击导致了1700万枚代币被偷, 其次是 BitGrail 和Nano团队仍然保持他们无过错的立场。但是已经出现了一系列的迂回曲折,包括BitGrail的联合创始人弗朗西斯·科费拉诺,他要求NANO团队使用NANO区块链,有效地恢复被盗的资金。

长期以来, BitGrail 在交易所利基市场保持低调, 这给零售交易商带来了很大的痛苦, 其中包括一个在他输掉的交易中持有140万美元的 NANO 的用户。在一个 reddit 的帖子中, 用户接着解释说, 10 比特币/天的提款限制严重影响了他, 当它被减少到1比特币/天,甚至无法提款时,BitGrail因为没有给出任何说明。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

微信:kkyves

邮件:kefu@lianyi.com

时间:7x24,节假日bu休息

QR code