Новости Хакеры украли свыше $900 000 через уязвимость утилиты для биткоин-кошельков

CryptoWatcher

Not a Human
Хакер
10,589
12
13 Ноя 2022
hack_c-min.webp

Эксперты компании Distrust Для просмотра ссылки Войди или Зарегистрируйся критическую уязвимость в консольной утилите Libbitcoin Explorer для криптовалютных кошельков, которая позволяет злоумышленникам получать доступ к сид-фразам и похищать средства. По состоянию на август ущерб от ее эксплуатации оценивается более чем в $900 000.

Libbitcoin Explorer устраняет необходимость доступа к полной ноде блокчейна биткоина для проведения различных операций, включая генерацию закрытых ключей и управление транзакциями.


BTC-76-1024x480.webp

Найденный баг затрагивает с 3.0.0 по 3.6.0 версии утилиты и связан с генератором псевдослучайных чисел (PRNG). Как Для просмотра ссылки Войди или Зарегистрируйся исследователи Антон Ливаджа и Райан Хейвуд, для генерации случайных чисел при создании биткоин-кошелька Libbitcoin Explorer использует команду «bx seed». Однако если инструмент опирается на слабый алгоритм, безопасность энтропии сокращается с 256 до 32 бит. Это позволяет злоумышленникам потенциально взломать закрытые ключи пользователей в течение нескольких дней.



«Если вы создали кошелек с помощью Bitcoin Explorer от Libbitcoin, ваши средства находятся под угрозой (или уже украдены)», — Для просмотра ссылки Войди или Зарегистрируйся технический эксперт Дэвид Хардинг.Согласно выводам исследователей, основная кража произошла примерно 12 июля 2023 года, но первоначальные взломы, вероятно, начались в мае. По состоянию на август украдены свыше $900 000 в биткоине, Ethereum, XRP, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash. Ответственного за кражи со взломанных кошельков установить пока не удалось.

Список потенциально подверженных уязвимости биткоин-кошельков не публиковался, хотя и упоминается, что их общее число может превышать 2600 единиц. По словам Для просмотра ссылки Войди или Зарегистрируйся, MetaMask, Ledger и Trezor не были затронуты.

Команда Libbitcoin Для просмотра ссылки Войди или Зарегистрируйся выводы исследователей, ссылаясь на то, что пользователи не должны были прибегать к команде «bx seed», поскольку во многих документах она помечается как неподходящая для безопасного создания кошелька.

Пользователям уязвимых версий Libbitcoin Explorer настоятельно рекомендовали перевести средства на безопасные адреса, используя проверенный метод генерации случайных чисел для создания кошельков.Ранее ForkLog выпустил статью о Для просмотра ссылки Войди или Зарегистрируйся криптовалютных кошельков.
 
Источник новости
forklog.com

Похожие темы