Mae waled crypto symudol Edge wedi cyhoeddi digwyddiad diogelwch lle mae tua 2000 o allweddi preifat wedi'u gollwng. Mae'r cwmni wedi annog defnyddwyr i ddiweddaru i'r fersiwn ddiweddaraf o'r Edge Wallet wrth iddynt ddatblygu eu hymchwiliadau.
Mewn rhybudd brys ar Chwefror 22, darganfu Edge wendid ar yr ap a fyddai'n gollwng allweddi preifat.
Oherwydd gwelededd allweddi ar weinydd logiau Edge, roedd y bregusrwydd yn peryglu tua 2000 o allweddi preifat trwy eu hanfon i seilwaith Edge.
Yn ôl Edge, mae hyn yn gyfystyr â llai na 0.01% o gyfanswm bras yr allweddi a grëwyd ar y platfform.
Cadarnhaodd y cwmni, fodd bynnag, nad oedd gweinyddwyr log Edge wedi'u peryglu a bod cronfeydd defnyddwyr yn dal yn gyfan.
“Mae hapwiriad o sawl dwsin o allweddi preifat yn dangos bod gan lawer ohonynt arian yn weddill o hyd. Trwy hyn, rydym yn canfod na fu cyfaddawd eang ar seilwaith Edge a fyddai wedi peryglu mwyafrif helaeth o arian ar allweddi o’r fath.”
Datganiad i'r wasg Edge
Dywedodd Edge fod yr ymosodiad wedi digwydd ar Chwefror 20, a hysbyswyd y staff gan ddefnyddiwr a brofodd drafodiad anawdurdodedig a ysgubodd arian o'u waled Bitcoin. Dim ond bitcoin a wnaeth yr ymosodwr (BTC) a gadawodd asedau eraill.
Gan fod Edge yn defnyddio allweddi preifat meistr unigol ar gyfer pob waled, penderfynodd y cwmni mai dim ond allwedd breifat eu waled bitcoin a gyfaddawdwyd ac nid cyfrif y defnyddiwr.
Dywedodd Edge ymhellach mai dim ond ychydig o gwynion a dderbyniwyd ganddynt o ddefnyddwyr yn colli arian, sef ffigurau 5 isel yn USD, gan nodi y gallai'r digwyddiad fod wedi bod yn ymosodiad wedi'i dargedu ar y defnyddwyr.
Darganfu'r tîm ychydig o gamau gweithredu a allai fod wedi arwain at fregusrwydd mewn allweddi preifat. Y cyntaf oedd pe bai defnyddiwr yn dewis opsiynau penodol o dan y tabiau prynu a gwerthu, a fyddai wedi arwain at logio'r waled wedi'i amgryptio allwedd breifat ar ddisg y ddyfais.
Yr ail oedd pe bai'r defnyddwyr yn defnyddio'r nodwedd logiau uwchlwytho, a fyddai'n anfon y logiau at weinyddion Edge, gan gynnwys yr allwedd breifat, pe bai'r opsiynau prynu a gwerthu yn cael eu dewis.
“Rydym yn parhau i ymchwilio gan gynnwys fforensig dyfeisiau dwfn i benderfynu a allai malware fod wedi cael mynediad at yr allweddi preifat heb ei amgryptio ar ddisg.”
Datganiad i'r wasg Edge
Ers hynny mae'r cwmni wedi annog defnyddwyr i ddiweddaru eu fersiwn diweddaraf o Edge (v3.3.1), sydd ar gael ar Google Play Store, App Store, a gellir ei lawrlwytho'n uniongyrchol ar eu wefan.
Mae'r datganiad newydd, medden nhw, yn trwsio'r holl wendidau hysbys sy'n cynnwys allweddi preifat waled ac yn dileu'r holl logiau blaenorol oddi ar y ddisg ar unwaith.
Ffynhonnell: https://crypto.news/edge-wallet-security-vulnerability-leaks-2000-private-keys/