Исчезновение 900 тысяч долларов ставит в центр внимания винтажный биткоин-проект Libbitcoin
Проблема, получившая название Milk Sad, была обнаружена в конце июля фирмой информационной безопасности Distrust.
Скриншот кода уязвимости Milk Sad (milksad.info)
Фирма информационной безопасности Distrust сообщает, что в общей сложности через несколько блокчейнов было украдено не менее 900 000 долларов.
Хакерам удалось воспользоваться уязвимостью в Libbitcoin explorer, инструменте командной строки с открытым исходным кодом или текстовом интерфейсе, используемом разработчиками биткойнов для создания криптографических ключей и связи с блокчейном.
В 2011 году, всего через два года после запуска Биткойна, британско-иранский анархист-разработчик Амир Таакия и группа программистов с открытым исходным кодом создали альтернативу Bitcoin Core — оригинальный и до сих пор самый популярный способ подключения к сети Биткойн.
Эта альтернативная часть программного обеспечения под брендом Libbitcoin теперь превратилась в комплексный набор инструментов – библиотеку – для таких важных функций, как связь с блокчейном Биткойн и генерация криптографических ключей.
Он даже был описан в популярной и, возможно, канонической книге преподавателя биткойнов Андреаса Антонопулоса « Освоение биткойнов» .
Но после того, как за последние несколько месяцев из различных кошельков пользователей исчезло около 900 000 долларов, Libbitcoin, который когда-то считался безопасным, оказался небезопасным.
Вот как разворачивалась последняя сага, согласно отчету Milksad.info , в котором подробно описаны выводы Distrust , охранной фирмы, которая обнаружила уязвимость в июле при содействии группы независимых участников.
В какой-то момент в мае хакеры начали тайно красть средства у ничего не подозревающих пользователей после обнаружения малоизвестной уязвимости в ряде кошельков, созданных обозревателем Libbitcoin под названием BX .
Если вы создали кошелек с помощью Bitcoin Explorer от Libbitcoin, в том числе, как описано в приложении «Освоение биткойнов», ваши средства находятся под угрозой (или уже украдены).
Полная информация: https://t.co/Crlw63lUr4 .– Дэвид А. Хардинг (@hrdng), 8 августа 2023 г.
Уязвимость получила название «Milk Sad», поскольку «milk» и «sad» были первыми двумя словами в исходной фразе для восстановления кошелька, созданной уязвимостью, говорится в отчете.
Самое значительное ограбление — 29,65 биткойнов ( BTC ) на сумму около 870 000 долларов США по текущим курсам — произошло 12 июля. Недоверие говорит, что в общей сложности по меньшей мере 900 000 долларов было украдено через несколько блокчейнов, в том числе из некоторых из примерно 2600 биткойн-кошельков, затронутых уязвимостью.
Аппаратные кошельки, такие как Trezor и Ledger, похоже, не пострадали, но ряд кошельков все еще находятся под угрозой, а полный объем украденных денег «еще не определен», согласно твиту Антона Ливайи от 8 августа . член команды «Недоверие».
BX поставляется с текстовой командой под названием «bxseed», которая использует часы на компьютере разработчика для создания исходной фразы для создания кошелька.
Программное обеспечение Crypto предоставляет случайные комбинации от 12 до 24 слов или начальных фраз пользователям, которые хотят «восстановить» или восстановить доступ к своим кошелькам в случае случайной потери.
Но при использовании BX результирующая фраза оказывается недостаточно случайной. Согласно отчету, «приличный игровой ПК может выполнить перебор» или угадать все возможные комбинации слов для исходной фразы пользователя «менее чем за день».
«Думайте об этом как о защите вашего счета в онлайн-банке с помощью менеджера паролей, который создает длинный случайный пароль», — говорится в отчете. «Но он часто создает одни и те же пароли для каждого пользователя. Злоумышленники это поняли и слили средства со всех счетов, которые смогли найти».
Затронуты Ethereum, Zcash, Solana, Dogecoin
Milk Sad не ограничивается биткойнами. Ethereum, Zcash, Solana и даже Dogecoin входят в список восьми затронутых блокчейнов. Похожие, но не идентичные уязвимости были обнаружены в Cake Wallet и Trust Wallet , приложениях с несколькими цепочками кошельков.
Обычно начальные фразы создаются с помощью генератора, способного создавать набор или «ключевое пространство» с головокружительным количеством уникальных словосочетаний, представленных показателем степени двоичной цифры или «бита» — по сути, числа два, возведенного в степень 128, 192 или 256.
BX имеет ничтожное 32-битное пространство ключей, которое может дать только около 4,3 миллиарда уникальных комбинаций слов. «Это не так много комбинаций, как кажется», — говорится в отчете.
Эрик Воскуил, ведущий разработчик BX, признал, что генератор начальных чисел действительно небезопасен, но настаивал на том, что в программном обеспечении нет ошибок, утверждая, что текстовая команда bxseed использовалась неправильно. Он опубликовал в Твиттере скриншот документации приложения на GitHub, предупреждающий разработчиков об уязвимости.
Ребята с https://t.co/Ja1L3PDloF сообщили мне , что они подали CVE против Libbitcoin. Судя по всему, продукт кошелька использовал команду BX способом, против которого явно указано предупреждение. Это не ошибка BX или Libbitcoin, это безрассудная разработка кошелька. pic.twitter.com/QGlCHB6XQX
– Эрик Воскуил (@evoskuil) 7 августа 2023 г.
«Это не ошибка в BX или Libbitcoin», — написал Воскуил в Твиттере . «Это безрассудное развитие кошелька».
Несколько криптографов в биткойн-сообществе выразили несогласие.
