本文共字，预计阅读时间。

比特币钱包应用Blockchain最近出现严重漏洞，多个系统用户竟然在不知情的情况下共享同一个比特币钱包，加密系统形同虚设。开发者赶忙迅速发布更新弥补漏洞。

使用安卓4.1及更老版本系统运行Blockchain的用户会受到此次漏洞波及。公司表示："漏洞根源在于某一特定地址在软件中被重复采集，导致部分用户账户资金受损。"

Blockchain建议受波及用户更新应用程序,创建新比特币地址,并将其资金从受影响的电子钱包中转出。

这次事件显然是一系列系统开发错误叠加而成的最坏结果。通常，比特币钱包会随机生成一个公共地址以及相关联的私人密钥。随机生成的公共地址必须足够'随机'才能保证相关联的私人密钥不被猜到。

为此,Blockchain使用两种来源的随机数,采用双保险的加密方法：地址一部分来源于安卓系统内部的随机数生成器，另一部分则源于Random.org的随机生成服务。

而，一部分手机（据传闻，索尼Xperia系列设备就在其内）内置的安卓随机数生成器与Blockchain应用程序连接失败。一般情况下，这种情况出现时也不会有太大问题，因为还有第二道壁垒：Random.org的随机生成服务。

但在今年1月4日，Random.org为提高网络安全性,要求所有访问均通过加密链接完成。而Blockchain应用程序却仍在通过未加密链接继续访问该站点。因此,事与愿违，Blockchain无法获得随机数据，而是一直在获得相同的错误代码，告知该站点已经被移走。

Blockchain就一直在使用该错误代码作为随机数据生成比特币地址。

Blockchain应用程序发言人表示："这一现象极为罕见，'随机'生成的比特币地址完全相同（也就是说，生成的公共地址同时被不止一个相关联的私人密钥使用）。所以我们立即披露了有关问题,，发布应用修复更新。"

Blockchain拒绝承认此次事件导致了整个加密系统的崩溃,并表示"只有很少数用户受到影响；据了解只有三位用户向我们进行了相关反馈。Blockchain的用户数量高达三百五十万，因此相较来说，漏洞波及范围非常窄。"

此次事件震动信息安全业。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！

本文版权归原作者所有，如有侵权，请联系删除。