Cercetatorii in domeniul securitatii avertizeaza ca adresele vechi Bitcoin generate in browser sau prin aplicatiile portofelului bazate pe JavaScript ar putea fi afectate de o defectiune criptografica care le permite atacatorilor sa forteze cheile private, sa preia controlul portofelului utilizatorilor si sa le fure fondurile.
Vulnerabilitatea consta in utilizarea functiei JavaScript SecureRandom () pentru generarea unei adrese Bitcoin aleatoare si a cheii private adiacente (echivalenta unei parole).
Toate adresele Bitcoin generate utilizand functia SecureRandom () sunt vulnerabile la atacurile de forta brute care ar putea ghici cheia privata a contului.
Sunt afectate toate adresele Bitcoin generate folosind portofelul de tip client BitAddress inainte de 2013 si Bitcoinjs inainte de 2014.
In plus, potrivit lui Mustafa Al-Bassam , cercetator la Departamentul de Informatica al University College din Londra, multe aplicatii portofoliu Bitcoin vechi au folosit biblioteca criptografica jsbn.js pentru generarea adreselor Bitcoin. O versiune anterioara din 2013 a acestei biblioteci a folosit functia SecureRandom ().
Aplicatiile Wallet care utilizeaza acele versiuni mai vechi ale lui jsbn.js genereaza in continuare chei private BitTorrent. Potrivit lui Gerard, spargerea unei astfel de chei ar dura in general o saptamana.
Utilizatorii Bitcoin care au generat adrese Bitcoin folosind instrumentele afectate sunt sfatuiti sa genereze noi adrese Bitcoin cu un nou instrument si sa transfere fonduri de la conturi vechi la cele noi.