Фахівці компанії Distrust виявили серйозну проблему в консольному додатку Libbitcoin Explorer, призначеному для управління криптовалютними гаманцями. Ця вразливість дозволяє зловмисникам отримати доступ до початкових слів і незаконно привласнених коштів. До серпня збитки від її зловживання сягнули понад 900 000 доларів.
Libbitcoin Explorer пропонує можливість виконувати різноманітні дії без потреби у повному біткойн-вузлі, зокрема генерувати закриті ключі та керувати переказами.
Адреса в мережі Bitcoin, яку платформа MistTrack визначила як ризиковану. Дані: X. Ця виявлена помилка впливає на версії програми від 3.0.0 до 3.6.0 і пов’язана з механізмом генерації псевдовипадкових чисел (PRNG).
За словами аналітиків Антона Ліваджа та Райана Хейвуда, програма Libbitcoin Explorer використовує команду «bx seed» для генерації випадкових чисел для створення гаманця Bitcoin. Однак, якщо програма покладається на недостатньо потужний алгоритм, швидкість ентропії падає з 256 біт лише до 32 біт. Це може дозволити кіберзлочинцям зламати закриті ключі протягом короткого періоду часу. Згідно з аналізом, основна крадіжка сталася приблизно 12 липня 2023 року, але перші несанкціоновані доступи могли початися ще в травні. Станом на серпень було викрадено кошти в Bitcoin, Ethereum, XRP, Dogecoin, Solana, Litecoin, Bitcoin Cash і Zcash. Хто стоїть за цими діями, залишається невідомим.
Список потенційно постраждалих біткойн-гаманців залишається неопублікованим, однак зазначається, що може бути до 2600 випадків. Згідно з інформацією, MetaMask, Ledger і Trezor залишилися поза досяжністю цієї проблеми.
Команда розробників Libbitcoin не погодилася з висновками, стверджуючи, що користувачі не повинні використовувати команду «bx seed», оскільки в багатьох матеріалах вона вважається непридатною для захисту гаманця. Усім, хто використовував уразливі версії Libbitcoin Explorer, рекомендується перемістити свої активи на підтверджені адреси з належною генерацією ключів.
Нещодавно ForkLog опублікував статтю про поширені недоліки криптовалютних гаманців.