Ostatnie odkrycia ujawniły istotną lukę w powszechnie znanym narzędziu do obsługi portfeli kryptowalut Libbitcoin Explorer (bx).
Jeśli kiedykolwiek wygenerowałeś portfel za pomocą tego oprogramowania lub postępowałeś zgodnie ze wskazówkami zawartymi w książce “Mastering Bitcoin”, twoje cyfrowe aktywa mogą być zagrożone – lub co gorsza – już skradzione.
Katastrofalna podatność portfela kryptowalutowego
Luka ta, oznaczona jako CVE-2023-39910, ujawnia katastrofalną słabość podkomendy bx seed odpowiedzialnej za generowanie entropii klucza prywatnego nowego portfela kryptowalut. Co szokujące, odkryto, że wersje Libbitcoin Explorer 3.x wykorzystują generator liczb pseudolosowych (PRNG) Mersenne Twister, który jest inicjowany 32 bitami czasu systemowego.
Tak więc, zamiast tworzyć unikalne i bezpieczne hasło dla każdego użytkownika, oprogramowanie od czasu do czasu generowało to samo hasło. Złośliwe podmioty zidentyfikowały tę słabość i zaczęły drenować fundusze z portfeli niczego niepodejrzewających użytkowników.
Warto podkreślić, że niebezpieczeństwo podatności polega na słabym generowaniu liczb kryptograficznych. Zazwyczaj bezpieczny system kryptograficzny wymaga dużych, nieprzewidywalnych liczb. W przypadku słabego generatora liczb losowych szyfrowanie staje się praktycznie bezużyteczne.
Tak więc, zamiast zabezpieczenia portfela na solidnych poziomach, takich jak 128-bitowy, 192-bitowy lub 256-bitowy, spada on do skromnych 32-bitów.
Chociaż 4,294,967,296 (2^32) unikalnych kombinacji może wydawać się ogromną liczbą, nie jest to zbyt wiele pracy dla współczesnych komputerów. Przy obecnym postępie w dziedzinie obliczeń, standardowy komputer do gier może przeszukać te kombinacje w mniej niż 24 godziny.
Chociaż istnieje wiele wariantów do przetestowania, to wciąż jest to oszałamiająco krótki czas. Jest to szczególnie prawdziwe, gdy atakujący może następnie uzyskać pełną kontrolę nad środkami, sprawdzić poprzednie transakcje portfela, a nawet podpisać wiadomości.
Chroń swój portfel
Ten błąd ujawnia mrożącą krew w żyłach rzeczywistość. Bez względu na to, jak bezpiecznie przechowujesz swoje dane uwierzytelniające w portfelu – czy to cyfrowo, czy nawet jako portfel papierowy w fizycznym skarbcu bankowym – twoje aktywa są podatne na kradzież. Dane pokazują, że te złośliwe ataki osiągnęły szczyt około 12 lipca 2023 roku. Inne oznaki wskazują, że początkowe exploity rozpoczęły się wcześniej, w maju 2023 roku.
Znane osobistości w społeczności kryptowalutowej wyraziły swoje obawy. Dyrektor generalny Binance Changpeng Zhao stwierdził:
“Portfel self-custody nie jest pozbawiony ryzyka. Popieram samodzielną opiekę, JEŚLI wiesz, co robisz. Trzymaj się #SAFU!”
Podkreślając istotę podatności na zagrożenia, wspomniał:
“Luka ta wynika z generatora liczb losowych wykorzystującego 32-bitowe seed, które nie jest wystarczająco losowe przeciwko nowoczesnym crackingom, takim jak GPU. Portfel Trustwallet i Binance nie używają tego do generowania frazy seed”.
Klęska Libbitcoin Explorer jest surowym przypomnieniem, że choć nowa era finansów i przechowywania aktywów oferuje wiele nowych możliwości, stwarza również ogromne ryzyko. Ważne jest, aby każdy, kto korzysta z kryptowalut, korzystał z zaufanych narzędzi. Ważne też był na bieżąco z potencjalnymi lukami w zabezpieczeniach.
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
