2011 ve 2015 yılları arasında oluşturulan Bitcoin cüzdanları, yeni bir tür istismara karşı hassastır. Randstorm Bu, şifrelerin kurtarılmasını ve çeşitli blockchain platformlarına yayılan çok sayıda cüzdana yetkisiz erişim elde edilmesini mümkün kılar.
“Randstorm(), birbirleriyle temasa geçtiklerinde belirli bir dönemin web tarayıcıları tarafından üretilen rastgele sayıların kalitesini önemli ölçüde azaltmak üzere bir araya gelen bir dizi hatayı, tasarım kararlarını ve API değişikliklerini tanımlamak için icat ettiğimiz bir terimdir ( 2011-2015),” Şifrelenmemiş, geçen hafta yayınlanan bir raporda açıklandı.
Potansiyel olarak zayıf kriptografik anahtarlarla oluşturulan cüzdanlarda yaklaşık 1,4 milyon Bitcoin’in park edildiği tahmin ediliyor. Müşteriler, cüzdanlarının saldırıya açık olup olmadığını www.keybleed adresinden kontrol edebilirler.[.]com.
Kripto para kurtarma şirketi, Ocak 2022’de Blockchain.com cüzdanına erişimi engellenen isimsiz bir müşteri için çalışırken sorunu yeniden keşfettiğini söyledi. Sorun ilk kez 2018 yılında “ketamin” takma adını kullanan bir güvenlik araştırmacısı tarafından vurgulanmıştı.
Güvenlik açığının özü, tarayıcı tabanlı kripto para cüzdanı uygulamaları geliştirmek için kullanılan açık kaynaklı bir JavaScript paketi olan BitcoinJS’nin kullanımından kaynaklanıyor.
Özellikle, Randstorm, paketin JSBN javascript kütüphanesindeki SecureRandom() fonksiyonuna güvenmesine ve o dönemde web tarayıcılarının Math.random() fonksiyonunun uygulanmasında mevcut olan ve zayıf sahte rastgele sayıya izin veren kriptografik zayıflıklara dayanmasına dayanmaktadır. nesil. BitcoinJS sağlayıcıları Mart 2014’te JSBN kullanımını durdurdu.
Sonuç olarak, kaba kuvvet saldırıları düzenlemek ve BitcoinJS kütüphanesi (veya ona bağlı projeler) tarafından oluşturulan cüzdan özel anahtarlarını kurtarmak için yeterli entropi eksikliğinden yararlanılabilir. Açılması en kolay cüzdanlar Mart 2012’den önce oluşturulan cüzdanlardı.
Bulgular, yazılım altyapısını güçlendiren açık kaynak bağımlılıklarına ve bu tür temel kitaplıklardaki güvenlik açıklarının, daha önce 2021’in sonlarında Apache Log4j örneğinde açıkça ortaya konduğu gibi, kademeli tedarik zinciri risklerine nasıl sahip olabileceğine bir kez daha yeni bir ışık tutuyor.
Unciphered, “Kusur zaten yazılımla oluşturulan cüzdanlara yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı” dedi.