Исчезновение $900 тыс. привлекает внимание к старинному Bitcoin проекту Libbitcoin

• Компания Distrust, занимающаяся информационной безопасностью, утверждает, что в нескольких блокчейнах было украдено в общей сложности не менее 900 000 долларов.
• Хакеры смогли воспользоваться уязвимостью в Libbitcoin Explorer — инструменте командной строки с открытым исходным кодом или текстовом интерфейсе, используемом разработчиками Bitcoin для создания криптографических ключей и взаимодействия с блокчейном.

В 2011 году, всего через два года после запуска Bitcoin , британо-иранский разработчик-анархист Амир Таакия и группа программистов с открытым исходным кодом создали альтернативу Bitcoin CORE — оригинальный и до сих пор самый популярный способ подключения к сети Bitcoin .

Альтернативное программное обеспечение под названием Libbitcoin теперь превратилось в комплексный набор инструментов — библиотеку — для выполнения важнейших функций, таких как взаимодействие с блокчейном Bitcoin и генерация криптографических ключей.

Об этом даже упоминалось в популярной и, пожалуй, канонической книге преподавателя Bitcoin Андреаса Антонопулоса. Освоение Bitcoin.

Однако после того, как за последние несколько месяцев из кошельков разных пользователей исчезло около 900 000 долларов, Libbitcoin, некогда считавшийся безопасным, оказался небезопасным.

Вот как разворачивалась последняя сага, согласно отчетуmilksad.info, в котором подробно излагаются выводыНедоверие, фирма по безопасности, которая обнаружила уязвимость в июле, при содействии группы независимых Авторы.

В какой-то момент мая хакеры начали тайно красть средства у ничего не подозревающих пользователей после того, как обнаружили скрытую уязвимость в ряде кошельков, созданных обозревателем Libbitcoin, который называетсяВХ.

Уязвимость получила название «Milk Sad», поскольку «молоко» и «грустно» былипервые два словаВ отчете говорится, что в исходной фразе для восстановления кошелька, сгенерированной уязвимостью, говорится:

Самая крупная кража – 29,65 Bitcoin (BTC) на сумму около 870 000 долларов США по текущему курсу — произошла 12 июля. Distrust сообщает, что в общей сложности было украдено не менее 900 000 долларов США из нескольких блокчейнов, в том числе из некоторых из примерно 2600 Bitcoin кошельков, затронутых уязвимостью.

Аппаратные кошельки, такие как Trezor и Ledger, похоже, не пострадали, но ряд кошельков все еще находится под угрозой, и полный объем украденных денег «еще предстоит определить».согласнона твит Антона Ливайи, члена команды Distrust, от 8 августа.

BX поставляется с текстовой командой под названием «bx seed», которая использует часы на компьютере разработчика для создания seed-фразы для создания кошелька.

Криптo обеспечение предоставляет случайные комбинации из 12–24 слов или начальных фраз пользователям, желающим «восстановить» или вновь получить доступ к своим кошелькам в случае их случайной потери.

Но при использовании BX результирующая фраза оказывается недостаточно случайной. Согласно отчету, «приличный игровой ПК может выполнить поиск методом перебора» или угадать все возможные комбинации слов для исходной фразы пользователя «менее чем за день».

«Подумайте об этом как о защите вашего счета в онлайн-банке с помощью менеджера паролей, который создает длинный случайный пароль», — говорится в отчете. «Но он часто создает одни и те же пароли для каждого пользователя. Злонамеренные люди поняли это и слили средства со всех счетов, которые смогли найти».

Ethereum, Zcash, Solana, Dogecoin пострадали

Milk Sad не ограничивается Bitcoin. Ethereum, Zcash, Solana и даже Dogecoin входят в список восьми затронутых блокчейнов. Похожие, но не идентичные уязвимости были обнаружены в Кошелек для CAKE и Трастовый кошелек, оба приложения-кошельки с несколькими цепочками.

Обычно исходные фразы создаются с помощью генератора, способного создавать набор или «пространство ключей» с головокружительным количеством уникальных словосочетаний, представленных показателем степени двоичной цифры или «BIT» — по сути, числа два, возведенного в степень 128, 192 или 256.

BX имеет ничтожное 32- BIT ключевое пространство, которое может дать только около 4,3 млрд уникальных словосочетаний. «Это не так много комбинаций, как кажется», — говорится в отчете.

Эрик Воскуил, ведущий разработчик BX, признал, что генератор семян действительно небезопасен, но настаивал на том, что в программном обеспечении нет ошибки, утверждая, что команда bx seed text была использована не по назначению. Он опубликовал в Twitter скриншот документации приложения на GitHub, который предупреждает разработчиков об уязвимости.

«Это не ошибка в BX или Libbitcoin», — Воскуилтвитнул«Это безрассудное развитие кошелька».

Несколько криптографов в сообществе Bitcoin высказали иное мнение.

«Дело совершенно ясное»,твитнул Тим Раффинг, криптограф в компании Blockstream, занимающейся инфраструктурой Bitcoin . «Это ваш баг, и точка».