Según ha descubierto el investigador de seguridad de MyCrypto Harry Denley, la plataforma online de creación de carteras de papel WalletGenerator.net ha estado ejecutando un código que provocaba que esta proporcionara los mismos pares de claves privadas/públicas a múltiples usuarios.
La vulnerabilidad, desvelada el pasado 24 de mayo por el investigador, ha estado afectando a la plataforma desde agosto de 2018 y fue eliminada el 23 de mayo.
El código empleado por la plataforma para generar las claves de carteras de papel era código abierto auditado por GitHub. Durante un tiempo el código de GitHub y el de la plataforma de generación de carteras fue el mismo, por lo que servía para su propósito original: generar claves públicas y privadas únicas para los usuarios.
Sin embargo, en algún momento, ambos códigos dejaron de ser idénticos, por lo que el que estaba siendo ejecutado en WalletGenerator.net podía generar el mismo par de claves para diferentes usuarios, con los problemas de seguridad que esto conlleva.
En una de las pruebas de MyCrypto llevadas a cabo entre el 18 y el 23 de mayo, los investigadores intentaron usar el generador del sitio web para generar 1.000 claves. La versión de GitHub devolvió 1.000 claves únicas, pero el código activo en la página solo devolvió 120 claves.