Μια ευπάθεια στη βιβλιοθήκη του Libbitcoin Explorer 3.x οδήγησε σε κλοπή άνω των 900,000 $ από χρήστες Bitcoin.
Η εταιρεία ασφαλείας Blockchain SlowMist ανέφερε το ζήτημα.
Θα μπορούσε επίσης να επηρεάσει χρήστες άλλων ψηφιακών νομισμάτων όπως το Ethereum (ETH), το Ripple (XRP), το Dogecoin (DOGE), το Solana (SOL), το Litecoin (LTC), το Bitcoin Cash (BCH) και το Zcash που χρησιμοποιούν το Libbitcoin για τη δημιουργία λογαριασμών.
Το Libbitcoin είναι μια εφαρμογή πορτοφολιού Bitcoin που χρησιμοποιείται από διάφορες εφαρμογές, συμπεριλαμβανομένων των Airbitz, Bitprim, Blockchain Commons και Cancoin. Το SlowMist δεν διευκρίνισε ποιες εφαρμογές επηρεάζονται από την ευπάθεια.
Η ευπάθεια, γνωστή ως "Milk Sad", ανακαλύφθηκε για πρώτη φορά από την ομάδα κυβερνοασφάλειας "Distrust" και αναφέρθηκε στη βάση δεδομένων ευπάθειας στον κυβερνοχώρο της CEV στις 7 Αυγούστου. Περιλαμβάνει έναν ελαττωματικό μηχανισμό δημιουργίας κλειδιών στον Libbitcoin Explorer, ο οποίος επιτρέπει στους εισβολείς να μαντέψτε τα ιδιωτικά κλειδιά.
Οι επιτιθέμενοι εκμεταλλεύτηκαν αυτήν την ευπάθεια για να κλέψουν κρυπτονομίσματα αξίας άνω των 900,000 δολαρίων, συμπεριλαμβανομένης μιας μεμονωμένης επίθεσης που αφαίρεσε πάνω από 278,318 δολάρια
Το SlowMist ισχυρίζεται ότι έχει «μπλοκάρει» τη διεύθυνση, υπονοώντας ότι έχουν έρθει σε επαφή με ανταλλακτήρια για να αποτρέψουν τον εισβολέα από την εξαργύρωση των χρημάτων. Θα παρακολουθούν επίσης τη διεύθυνση σε περίπτωση που τα χρήματα μετακινηθούν αλλού.
Η ομάδα Distrust και οκτώ ανεξάρτητοι σύμβουλοι ασφάλειας έχουν δημιουργήσει έναν ενημερωτικό ιστότοπο που εξηγεί την ευπάθεια. Ανακάλυψαν ότι η ευπάθεια εμφανίζεται όταν οι χρήστες δημιουργούν ένα πορτοφόλι seed χρησιμοποιώντας την εντολή "bx seed", η οποία δεν έχει επαρκή τυχαιότητα και μπορεί να παράγει τον ίδιο σπόρο για πολλούς χρήστες.
Η ευπάθεια ανακαλύφθηκε όταν ένας χρήστης του Libbitcoin ανέφερε ότι το BTC έλειπε στις 21 Ιουλίου. Περισσότερες έρευνες έδειξαν ότι και άλλοι χρήστες έκλεβαν το Bitcoin τους με παρόμοιο τρόπο.
Ο Eric Voskuil, μέλος του Ινστιτούτου Libbitcoin, δήλωσε ότι η εντολή "bx seed" δεν προορίζεται για πορτοφόλια παραγωγής και ενδέχεται να γίνουν αλλαγές για να ενισχυθεί η προειδοποίηση κατά της χρήσης ή να αφαιρεθεί εντελώς η εντολή.
Τα τρωτά σημεία του πορτοφολιού εξακολουθούν να αποτελούν πρόβλημα για τους χρήστες κρυπτογράφησης το 2023, με πάνω από 100 εκατομμύρια δολάρια να χάνονται σε μια παραβίαση του Atomic Wallet τον Ιούνιο. Σύμφωνα με την κατάταξη ασφάλειας πορτοφολιών που δημοσίευσε η CER τον Ιούλιο, μόνο έξι από τις 45 επωνυμίες πορτοφολιών χρησιμοποιούν δοκιμές διείσδυσης για να ανακαλύψουν τρωτά σημεία.
Πηγή: https://crypto.news/libbitcoin-vulnerability-leads-to-900k-theft-from-bitcoin-wallets/