"Milk Sad"-emission resulterar i $900,000 XNUMX stulna från kryptoplånböcker

Hackare utnyttjade en sårbarhet i Libbitcoin-utforskaren för att i hemlighet tömma krypto från tusentals Bitcoin-plånböcker.

A rapport från informationssäkerhetsföretaget Distrust avslöjade en sårbarhet som finns i utvecklingsverktyget för Bitcoin Libbitcoin, vilket potentiellt kan utsätta ett antal kryptoplånböcker i riskzonen att oväntat dräneras av exploatörer. 

Sårbarheten, kallad "Milk Sad" eftersom de var de två första orden i fröfrasen som skapades av problemet, upptäcktes när två kryptoplånboksanvändare fick reda på att deras Bitcoin hade stulits i samma minut på kedjan.  

Om du skapade en plånbok med Libbitcoins Bitcoin Explorer, inklusive enligt beskrivningen i bilagan till Mastering Bitcoin, är dina pengar i riskzonen (eller redan stulna).

Alla detaljer: https://t.co/Crlw63lUr4

— David A. Harding (@hrdng) Augusti 8, 2023

Ett team av utredare minskade grundorsaken till en sårbarhet genererad av Libitcoin explorer BX som använder en trasig tidsbaserad pseudoslumpmässig funktion för att generera seed-fraser när man skapar en plånbok. 

"Vem som helst kan räkna om och hitta ett offers ursprungligen använda entropi efter maximalt cirka 4.29 miljarder försök om de har specifika egenskaper att leta efter för att se om de lyckades hitta en kryptovaluta-plånbok", skrev forskare vid Distrust.

För att sätta saker i perspektiv, noterade forskarna att brute-forcering av detta nyckelutrymme skulle ta bara några dagars beräkning på en genomsnittlig speldator och kan utföras av alla med tillräckliga programmeringskunskaper. 

Hittills har utredarna funnit att krypto för minst 900,000 2,600 USD har stulits över flera blockkedjor och XNUMX XNUMX Bitcoin-plånböcker påverkades av stölden.

Distrust-teamet sa att de försökte kontakta Libbitcoin-teamet om problemet den 22 juli men fick veta att teamet var för upptaget för att svara, några dagar senare. När teamet av utredare försåg dem med mer sammanhang och tekniska detaljer den 3 augusti, svarade Libbitcoin-teamet med att säga att de inte ansåg att problemet borde karakteriseras som en bugg.

de behövde inte ens en kryptograf som jag för att berätta för dem att detta en kaskad av fantastiskt dumma misstag, bokstavligen wikipediasidan för mersenne twister PRNG har en punkt som säger "det här är inte kryptografiskt säkert" som om de bara kunde ha läst wikipedia pic.twitter.com/98P3m5eUox

— isis osiris agora lovecruft (de/dem) (@isislovecruft) Augusti 9, 2023

Rapporten noterar att förutom BTC, hade stölder av andra tokens som ETH, XRP, DOGE, SOL, LTC, BCH och ZEC också bekräftats. Omfattningen av påverkan är dock ännu inte fastställd, enligt Anton Livaja, medlem i Misstrust-teamet, som sade 1 miljon dollar är den nedre gränsen för uppskattningsvis stulna medel.

Enligt Eric Voskuil, BX:s ledande utvecklare, är problemet inte resultatet av en bugg i BX eller Libbitcoin, utan snarare resultatet av "vårdslös plånboksutveckling."

Jag har blivit informerad av folket på https://t.co/Ja1L3PDloF att de har lämnat in en CVE mot Libbitcoin. Tydligen använde en plånboksprodukt ett BX-kommando på ett sätt som man uttryckligen varnat för. Detta är inte en bugg i BX eller Libbitcoin, det är hänsynslös plånboksutveckling. pic.twitter.com/QGlCHB6XQX

— Eric Voskuil (@evoskuil) Augusti 7, 2023

Voskuil hävdar att plånboksutvecklare uttryckligen varnades för att använda BX-kommandon på ett visst sätt, med hänvisning till GitHub-dokumentationen som säger "pseudoslumpmässig sådd kan introducera kryptografisk svaghet i dina nycklar." 

Utredarna vid Distrust ansåg dock att denna "enda varning" var otillräcklig för att ta itu med riskerna.

"Formuleringen "kan introducera" är ganska svag och en användare kanske inte är medveten om att detta producerar ett frö som är helt osäkert och inte bör användas för att lagra något av värde, säger Mistrust-teamet i rapporten.