Недавно обнаруженная уязвимость в библиотеке Libbitcoin Explorer 3.x позволила украсть более 900 000 долларов США, согласно отчету фирмы по безопасности блокчейна Slowmist. Уязвимость также может повлиять на пользователей Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash, которые используют Libbitcoin для создания учетных записей.
Медленное предупреждение о безопасности
- Slowmist (@slowmist_team) 10 августа 2023 г.
Недавно #Distrust обнаружил серьезную уязвимость, влияющую на криптовалютные кошельки, используя версии #Libbitcoin Explorer 3.x. Эта уязвимость позволяет злоумышленникам получить доступ к частным ключам кошелька, эксплуатируя псевдо-рандом Mersenne Twister…
Libbitcoin - это реализация биткойн -кошелька, которую разработчики и валидаторы иногда используют для создания биткойн (BTC) и других учетных записей криптовалюты. Согласно его официальному веб -сайту, он используется «Airbitz (мобильный кошелек), Bitprim (интерфейс разработчика), блокчейн Commons (децентрализованная идентификация кошелька), Cancoin (децентрализованный обмен)» и другие приложения. Slowmist не указал, какие приложения, которые используют Libbitcoin, если таковые имеются, влияют уязвимость.
Cointelegraph обратился к Институту Либбиткона по электронной почте, но не получил комментарий во время публикации.
Slowmist идентифицировал команду по кибербезопасности «недоверие» как команда, которая первоначально обнаружила лазейку, которая называется «молоко грустным» уязвимостью. Он сообщил в базу данных уязвимости кибербезопасности CEV 7 августа.
Согласно сообщению, Libbitcoin Explorer имеет неисправный механизм генерации ключей, который позволяет угадать частных ключей. В результате злоумышленники использовали эту уязвимость, чтобы украсть криптографии на сумму более 900 000 долларов по состоянию на 10 августа.
Slowmist подчеркнул, что одна атака, в частности, отталкивается более 9,7441 BTC (приблизительно 278 318 долл. США). Фирма утверждает, что «заблокировала» адрес, подразумевая, что команда связалась с биржами, чтобы предотвратить обналичивание злоумышленников. Команда также заявила, что будет контролировать адрес в случае перемещения средств в другом месте.
Четверо членов команды Deaust, наряду с восемью внештатными консультантами по безопасности, которые утверждают, что помогли обнаружить уязвимость, создали информационный веб -сайт, объясняющий уязвимость. Они объяснили, что лазейка создается, когда пользователи используют команду «BX Seed» для создания семян кошелька. Эта команда «использует генератор чисел псевдордома Mersenne Twister (PRNG), инициализированный с 32 битами системного времени», в котором отсутствует достаточная случайность и, следовательно, иногда производит одно и то же семя для нескольких человек.
Исследователи утверждают, что обнаружили уязвимость, когда с ним связался пользователь Libbitcoin, чей BTC загадочно пропал без вести 21 июля. Когда пользователь обратился к другим пользователям Libbitcoin, чтобы попытаться определить, как BTC мог пройти, что обнаружил человек что другие пользователи также убирали BTC.
Уязвимости кошелька продолжают создавать проблему для пользователей криптовалют в 2023 году. В июне было потеряно более 100 миллионов долларов США в взломе атомного кошелька в июне, который был признан командой приложения 22 июня. Платформа сертификации кибербезопасности выпустила свои рейтинги безопасности кошелька В июле, отметив, что только шесть из 45 брендов кошелька используют тестирование на проникновение для обнаружения уязвимостей.
Источник
