Исчезновение $900 тыс. привлекает внимание к винтажному проекту Libbitcoin

$900 тыс. пропажи привлекают внимание к Libbitcoin

• Информационная фирма Distrust сообщает, что в сумме было похищено не менее $900,000 по нескольким блокчейнам.
• Хакеры смогли использовать уязвимость в исследователе Libbitcoin, открытом программном обеспечении командной строки или текстовом интерфейсе, используемом разработчиками Биткоина для создания криптографических ключей и взаимодействия с блокчейном.

В 2011 году, всего через два года после запуска Биткоина, британско-иранский анархист-разработчик Амир Такиа и группа разработчиков с открытым исходным кодом создали альтернативу Bitcoin Core – оригинальному и до сих пор самому популярному способу подключения к сети Биткоина.

Эта альтернативная программная оболочка, названная Libbitcoin, теперь превратилась в комплексный набор инструментов – библиотеку – для основных функций, таких как взаимодействие с блокчейном Биткоина и генерация криптографических ключей.

Она даже была представлена в популярной книге образователя по Биткоину Андреаса Антонопулоса “Освоение Биткоина”.

Но после пропажи примерно $900,000 из различных кошельков пользователей за последние несколько месяцев Libbitcoin, ранее считавшийся безопасным, оказался небезопасным.

• Toncoin (TON) проявляет силу, чтобы возглавить Топ-20 выходных с ростом на 22%
• Шиба Ину украл центр внимания, оставив Биткоин позади в неделю ценового взлета
• 2 технические причины для покупки биткоина (или продажи доллара США)

Вот как развернулась последняя сага, согласно отчету на сайте milksad.info, который описывает результаты исследования уязвимости, обнаруженной в июле фирмой Distrust с помощью группы независимых участников.

В некоторый момент в мае хакеры начали тайно красть средства у ничего не подозревающих пользователей после обнаружения скрытой уязвимости в нескольких кошельках, созданных исследователем Libbitcoin, называемым BX.

Уязвимость была названа “Milk Sad”, потому что “молоко” и “грустно” были первыми двумя словами в фразе для восстановления кошелька, созданной с использованием уязвимости, говорится в отчете.

Самое значительное ограбление – 29,65 биткоина (BTC) стоимостью около $870,000 по текущему курсу – произошло 12 июля. Distrust говорит, что всего было похищено не менее $900,000 по нескольким блокчейнам, включая некоторые из примерно 2,600 Биткоин-кошельков, на которые повлияла уязвимость.

Аппаратные кошельки, такие как Trezor и Ledger, кажется, не пострадали, но все еще есть ряд кошельков, находящихся в опасности, и полный объем похищенных денег “еще предстоит установить”, согласно твиту от 8 августа Антона Ливайи, члена команды Distrust.

У BX есть текстовая команда “bx seed”, которая использует часы на компьютере разработчика для создания фразы для создания кошелька.

Криптографическое программное обеспечение предоставляет случайные комбинации из 12 до 24 слов или фраз для восстановления или восстановления доступа к кошелькам в случае случайной потери.

Однако при использовании BX полученная фраза оказывается недостаточно случайной. По отчету, “хороший игровой ПК может выполнить переборный поиск”, или угадать все возможные комбинации слов для фразы для восстановления кошелька пользователя, “за менее чем за день”.

“Представьте себе, что вы защищаете свой онлайн-банковский счет с помощью менеджера паролей, который создает длинные случайные пароли”, – говорится в отчете. “Но он часто создает одинаковые пароли для каждого пользователя. Злоумышленники это поняли и опустошают средства на любом счете, который они могут найти”.

Пострадали Ethereum, Zcash, Solana, Dogecoin

Milk Sad не ограничивается только Биткоином. Ethereum, Zcash, Solana и даже Dogecoin входят в список восьми пострадавших блокчейнов. В приложениях для кошельков с множественной цепочкой Cake Wallet и Trust Wallet были обнаружены похожие, но не идентичные уязвимости.

Обычно фразы для восстановления создаются с использованием генератора, способного создать набор или “пространство ключей” с огромным числом уникальных комбинаций слов, представленных показателем двоичной цифры или “бита” – в основном, числа два, возведенного в степень 128, 192 или 256.

BX имеет незначительное пространство ключей 32 бита, которое может дать около 4.3 миллиарда уникальных комбинаций слов. “Это не так много комбинаций, как кажется”, – говорится в отчете.

Эрик Воскуил, ведущий разработчик BX, признал, что генератор фразы действительно небезопасен, но настаивал, что в программном обеспечении нет ошибки, утверждая, что текстовая команда bx seed была неправильно использована. Он опубликовал скриншот документации приложения на GitHub, который предупреждает разработчиков об уязвимости.

“Это не ошибка в BX или Libbitcoin”, – написал Воскуил в твите. “Это безответственная разработка кошелька”.

Несколько криптографов в сообществе Биткоина выразили другое мнение.

“Ситуация ясна как день”, – написал в твите Тим Руффинг, криптограф в фирме по инфраструктуре Биткоина Blockstream. “Это ваша ошибка, точка”.

Отредактировано Брэдли Киуном.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!