Эксперты компании Distrust обнаружили критическую уязвимость в консольной утилите Libbitcoin Explorer для криптовалютных кошельков, которая позволяет злоумышленникам получать доступ к сид-фразам и похищать средства. По состоянию на август ущерб от ее эксплуатации оценивается более чем в $900 000.
Libbitcoin Explorer устраняет необходимость доступа к полной ноде блокчейна биткоина для проведения различных операций, включая генерацию закрытых ключей и управление транзакциями.
Биткоин-адрес, помеченный платформой MistTrack как высокорисковый. Данные: X.
Найденный баг затрагивает с 3.0.0 по 3.6.0 версии утилиты и связан с генератором псевдослучайных чисел (PRNG). Как пояснили исследователи Антон Ливаджа и Райан Хейвуд, для генерации случайных чисел при создании биткоин-кошелька Libbitcoin Explorer использует команду «bx seed». Однако если инструмент опирается на слабый алгоритм, безопасность энтропии сокращается с 256 до 32 бит. Это позволяет злоумышленникам потенциально взломать закрытые ключи пользователей в течение нескольких дней.
«Если вы создали кошелек с помощью Bitcoin Explorer от Libbitcoin, ваши средства находятся под угрозой (или уже украдены)», — отметил технический эксперт Дэвид Хардинг.
Согласно выводам исследователей, основная кража произошла примерно 12 июля 2023 года, но первоначальные взломы, вероятно, начались в мае. По состоянию на август украдены свыше $900 000 в биткоине, Ethereum, XRP, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash. Ответственного за кражи со взломанных кошельков установить пока не удалось.
Список потенциально подверженных уязвимости биткоин-кошельков не публиковался, хотя и упоминается, что их общее число может превышать 2600 единиц. По словам экспертов, MetaMask, Ledger и Trezor не были затронуты.
Команда Libbitcoin оспорила выводы исследователей, ссылаясь на то, что пользователи не должны были прибегать к команде «bx seed», поскольку во многих документах она помечается как неподходящая для безопасного создания кошелька.
Пользователям уязвимых версий Libbitcoin Explorer настоятельно рекомендовали перевести средства на безопасные адреса, используя проверенный метод генерации случайных чисел для создания кошельков.Ранее ForkLog выпустил статью о главных уязвимостях криптовалютных кошельков.
