- Согласно сообщениям, из-за уязвимости в Libbitcoin хакеры похитили у пользователей Bitcoin около 1 млн. долл.
- Член Института Libbitcoin Эрик Воскуил (Eric Voskuil) сообщил, что bx seed не предназначен для использования в производственных кошельках.
Libbitcoin, реализация кошелька Bitcoin, используемая разработчиками и валидаторами для создания криптовалютных счетов, подверглась взлому, по данным компании SlowMist, занимающейся вопросами безопасности блокчейна. Расследование уязвимости библиотеки Libbitcoin Explorer 3.x показало, что на данный момент у пользователей Bitcoin было похищено более 900 тыс. долл. Пользователям других криптовалют, включая Ethereum, Dogecoin, Ripple, Solana, Bitcoin Cash, Litecoin и Zcash, использующим для своих счетов Libbitcoin, как сообщается, ничего не угрожает, и им рекомендуется перевести все средства на защищенные кошельки.
Мы настоятельно рекомендуем всем пользователям, использующим Libbitcoin Explorer версии 3.x, немедленно прекратить использование пострадавших кошельков и перевести средства на безопасные кошельки. Для создания новых кошельков обязательно используйте проверенный и безопасный метод генерации случайных чисел».
Компания, занимающаяся вопросами безопасности блокчейна, поясняет, что уязвимость связана с реализацией генератора псевдослучайных чисел (PRNG) в версиях Libbitcoin Explorer 3.x. При оценке было обнаружено, что реализация использует алгоритм Mersenne Twister, а также использует 32 бита системного времени в качестве затравки. Таким образом, для перебора закрытых ключей пользователей злоумышленникам потребуется всего несколько дней.
В настоящее время Libbitcoin используется в Airbitz (мобильный кошелек), Cancoin (децентрализованные биржи), Blockchain Commons (децентрализованный кошелек Identity) и др. Однако ни один из них, как выяснилось, не был затронут уязвимостью.
Подробнее об уязвимости Libbitcoin
В отчете, найденном в базе данных уязвимостей кибербезопасности CVE, говорится, что в Libbitcoin Explorer неисправен механизм генерации ключей. Это облегчает злоумышленникам угадывание закрытых ключей. По данным SlowMist, в результате одной атаки хакеры завладели 9,7441 BTC (278 318 долл. США). Первоначально были предприняты действия по обращению к биржам, чтобы предотвратить вывод средств.
Как утверждается, уязвимость обнаружила команда Distrust, состоящая из четырех человек и восьми внештатных сотрудников. По их словам, лазейка возникает каждый раз, когда пользователь выполняет команду «bx seed» для генерации семени кошелька. В большинстве случаев команда генерирует одно и то же семя для нескольких человек. Другими словами, она не обладает достаточной степенью случайности. Как утверждается, все началось с того, что один из пользователей Libbitcoin обратился к ним по поводу таинственного исчезновения его биткойна 21 июля. Ранее пользователь обратился к другим пользователям Libbitcoin за объяснениями, почему его кошелек бесследно опустел, и только потом выяснил, что «он был не один»
В связи с этими опасениями репортеры обратились за комментарием к члену Института Libbitcoin Эрику Воскуилу (Eric Voskuil). Интересно, что он пояснил, что «bx seed» не предназначен для использования в кошельках для добычи. Скорее, это «удобство для тех случаев, когда инструмент используется для демонстрации поведения, требующего энтропии» Далее он заявил, что если люди будут использовать его для засева ключей на производстве, то предупреждение будет недостаточным. На данный момент они намерены внести изменения через несколько дней, либо вообще убрав команду, либо усилив предупреждение о недопустимости ее использования в производственных целях.
Уязвимости кошельков стали причиной потери миллионов долларов на различных биржах. В июне в результате взлома Atomic Wallet хакеры похитили около 100 млн. долл. Большинство из них связано с халатностью. Платформа сертификации кибербезопасности CER недавно сообщила, что только 6 из 45 брендов кошельков использовали тестирование на проникновение для выявления уязвимостей.
