Недавно обнаруженная уязвимость в Libbitcoin Explorer 3.x Library позволила украсть более 900 000 долларов у пользователей Биткоин, согласно отчету компании SlowMist, занимающейся безопасностью блокчейн. Уязвимость также может затронуть пользователей Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash, которые используют Libbitcoin для создания учетных записей.
SlowMist Security Alert
Recently, #Distrust discovered a severe vulnerability affecting cryptocurrency wallets using the #Libbitcoin Explorer 3.x versions. This vulnerability allows attackers to access wallet private keys by exploiting the Mersenne Twister pseudo-random…
— SlowMist (@SlowMist_Team) August 10, 2023
Libbitcoin — это реализация биткоин-кошелька, которую разработчики и валидаторы иногда используют для создания биткоин (BTC) и других учетных записей в криптовалюте. Согласно официальному сайту, он используется «Airbitz (мобильный кошелек), Bitprim (интерфейс разработчика), Blockchain Commons (идентификация децентрализованного кошелька), Cancoin (децентрализованный обмен)» и другими приложениями. SlowMist не уточнил, какие приложения, использующие Libbitcoin, затронуты уязвимостью.
Cointelegraph связался с Институтом Libbitcoin по электронной почте, но не получил комментариев на момент публикации.
SlowMist идентифицировал команду кибербезопасности «Distrust» как команду, которая первоначально обнаружила лазейку, которая называется уязвимостью «Milk Sad». Об этом было сообщено в базу данных уязвимостей кибербезопасности CEV 7 августа.
Согласно сообщению, Libbitcoin Explorer имеет неисправный механизм генерации ключей, позволяющий злоумышленникам угадывать закрытые ключи. В результате злоумышленники воспользовались этой уязвимостью, чтобы похитить криптовалюту на сумму более 900 000 долларов по состоянию на 10 августа.
SlowMist подчеркнул, что одна атака, в частности, унесла более 9,7441 BTC (примерно 278 318 долларов США). Фирма утверждает, что «заблокировала» адрес, подразумевая, что команда связалась с биржами, чтобы помешать злоумышленнику обналичить средства. Команда также заявила, что будет отслеживать адрес на случай, если средства будут переведены в другое место.
Четыре члена команды Distrust вместе с восемью внештатными консультантами по безопасности, которые утверждают, что помогли обнаружить уязвимость, создали информационный веб-сайт, объясняющий уязвимость. Они объяснили, что лазейка создается, когда пользователи используют команду «bx seed» для создания seed-фразы кошелька. Эта команда «использует генератор псевдослучайных чисел Mersenne Twister (PRNG), инициализированный 32 битами системного времени», которому не хватает достаточной случайности, и поэтому иногда создается одно и то же начальное число для нескольких человек.
Исследователи утверждают, что обнаружили уязвимость, когда с ними связался пользователь Libbitcoin, чей BTC таинственным образом пропал 21 июля. Когда пользователь обратился к другим пользователям Libbitcoin, чтобы попытаться определить, как мог пропасть BTC, человек нашелчто другие пользователи также перекачивали свои BTC.
Уязвимости кошельков продолжают представлять проблему для пользователей криптовалюты в 2023 году. Более 100 миллионов долларов было потеряно в результате взлома кошелька Atomic в июне, что было признано командой приложения 22 июня. Платформа сертификации кибербезопасности CER опубликовала свой рейтинг безопасности кошелька в июле., отметив, что только шесть из 45 брендов кошельков используют тестирование на проникновение для обнаружения уязвимостей.
