" Недавно обнаруженная уязвимость в библиотеке Libbitcoin Explorer 3.x позволила украсть более 900 000 долларов у пользователей биткойнов, согласно отчету компании SlowMist, занимающейся безопасностью блокчейнов. Уязвимость также может затронуть пользователей Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash, которые используют Libbitcoin для создания учетных записей.
«Предупреждение безопасности SlowMist. Недавно Distrust обнаружил серьезную уязвимость, затрагивающую криптовалютные кошельки, использующие версии Libbitcoin Explorer 3.x. Эта уязвимость позволяет злоумышленникам получить доступ к закрытым ключам кошелька, используя генератор псевдослучайных чисел (PRNG) Mersenne Twister, что приводит к реальным последствиям», — пишет в твиттере/X SlowMist (@SlowMist_Team) 10 августа 2023 г.
Libbitcoin — это реализация биткойн-кошелька, которую разработчики и валидаторы иногда используют для создания биткойн (BTC) и других учетных записей в криптовалюте. Согласно официальному сайту, он используется «Airbitz (мобильный кошелек), Bitprim (интерфейс разработчика), Blockchain Commons (идентификация децентрализованного кошелька), Cancoin (децентрализованная биржа)» и другими приложениями. SlowMist не уточнил, какие приложения, использующие Libbitcoin, затронуты уязвимостью.
SlowMist идентифицировал команду кибербезопасности «Distrust» как команду, которая первоначально обнаружила лазейку, которая называется уязвимостью «Milk Sad». Об этом было сообщено в базу данных уязвимостей кибербезопасности CEV 7 августа.
Согласно сообщению, Libbitcoin Explorer имеет неисправный механизм генерации ключей, позволяющий злоумышленникам угадывать закрытые ключи. В результате злоумышленники воспользовались этой уязвимостью, чтобы украсть криптовалюту на сумму более 900 000 долларов по состоянию на 10 августа.
SlowMist подчеркнул, что одна атака, в частности, унесла более 9,7441 BTC (примерно 278 318 долларов США). Фирма утверждает, что «заблокировала» адрес, подразумевая, что команда связалась с биржами, чтобы помешать злоумышленнику обналичить средства. Команда также заявила, что будет отслеживать адрес на случай, если средства будут переведены в другое место.
Четыре члена команды Distrust вместе с восемью внештатными консультантами по безопасности, которые утверждают, что помогли обнаружить уязвимость, создали информационный веб-сайт, объясняющий уязвимость. Они объяснили, что лазейка создается, когда пользователи используют команду «bx seed» для создания seed-фразы кошелька. Эта команда «использует генератор псевдослучайных чисел Mersenne Twister (PRNG), инициализированный 32 битами системного времени», которому не хватает достаточной случайности, и поэтому иногда создается одна и та же начальная фраза для нескольких человек.
Команда Bx seed дважды производит одно и то же начальное число. Источник: информационный сайт «Милк Сад».
Исследователи утверждают, что обнаружили уязвимость, когда с ними связался пользователь Libbitcoin, чей BTC таинственным образом пропал 21 июля. Когда пользователь обратился к другим пользователям Libbitcoin, чтобы попытаться определить, как мог пропасть BTC, человек нашел что другие пользователи также потеряли свои BTC.
Член Института Libbitcoin Эрик Воскуил заявил, что команда bx seed «предоставляется для удобства, когда инструмент используется для демонстрации поведения, требующего энтропии», и не предназначена для использования в производственных кошельках.
«Если люди действительно использовали его для заполнения ключей производства (в отличие, например, от игры в кости), то предупреждения недостаточно», — заявил Воскуил. В этом случае: «Мы, вероятно, внесем некоторые изменения в течение следующих нескольких дней, чтобы усилить предупреждение против использования в производственной среде или полностью удалим команду».
Уязвимости кошельков по-прежнему представляют проблему для пользователей криптовалют в 2023 году. Более 100 миллионов долларов было потеряно в результате взлома кошелька Atomic в июне, что было признано командой приложения 22 июня. Платформа сертификации кибербезопасности CER опубликовала свой рейтинг безопасности кошельков в июле, отметив, что только шесть из 45 брендов кошельков используют тестирование на проникновение для обнаружения уязвимостей.
