Зникнення 900 тисяч доларів зосереджує увагу на старовинному Bitcoin -проекті Libbitcoin

• Фірма інформаційної безпеки Distrust каже, що загалом через кілька блокчейнів було вкрадено щонайменше 900 000 доларів.
• Хакерам вдалося використати вразливість у Libbitcoin explorer, інструменті командного рядка з відкритим кодом або текстовому інтерфейсі, який використовується розробниками Bitcoin для створення криптографічних ключів і зв’язку з блокчейном.

У 2011 році, лише через два роки після запуску Bitcoin , британсько-іранський розробник-анархіст Амір Таакіа та група програмістів з відкритим кодом створили альтернативу Bitcoin CORE – оригінальному та досі найпопулярнішому способу підключення до мережі Bitcoin .

Ця альтернативна частина програмного забезпечення під брендом Libbitcoin тепер перетворилася на комплексний набір інструментів – бібліотеку – для таких важливих функцій, як зв’язок із блокчейном Bitcoin і генерація криптографічних ключів.

Він навіть був представлений у популярній і, можливо, канонічній книзі вчителя Bitcoin Андреаса Антонопулоса Освоєння Bitcoin.

Але після того, як за останні кілька місяців з гаманців різних користувачів зникло приблизно 900 000 доларів, Libbitcoin, який колись вважався безпечним, виявився небезпечним.

Ось як розгорталася остання сага, згідно зі звітом milksad.info, де детально викладено висновки Недовіра, охоронна фірма, яка виявила вразливість у липні за допомогою групи незалежних Автори.

У якийсь момент у травні хакери почали таємно викрадати кошти у нічого не підозрюючих користувачів після того, як виявили незрозумілу вразливість у кількох гаманцях, згенерованих дослідником Libbitcoin під назвою BX.

Цю вразливість назвали «Milk Sad», тому що «milk» і «sad» були такими перші два слова у початковій фразі відновлення гаманця, створеній уразливістю, йдеться у звіті.

Найзначніше пограбування – 29,65 Bitcoin (BTC) вартістю близько 870 000 доларів США за поточним курсом – відбулося 12 липня. Згідно з повідомленням Distrust, загалом через кілька блокчейнів було вкрадено щонайменше 900 000 доларів США, у тому числі з деяких із приблизно 2600 Bitcoin гаманців, уражених уразливістю.

Апаратні гаманці, такі як Trezor і Ledger, здається, залишилися неушкодженими, але все ще є кілька гаманців під загрозою, і повний обсяг вкрадених грошей «поки що не встановлено». відповідно до твіту Антона Ліваї, члена команди Distrust, від 8 серпня.

BX постачається з текстовою командою під назвою «bx seed», яка використовує годинник на комп’ютері розробника для створення початкової фрази для створення гаманця.

Крипто програмне забезпечення надає випадкові комбінації від 12 до 24 слів або вихідних фраз користувачам, які хочуть «відновити» або відновити доступ до своїх гаманців у разі випадкової втрати.

Але при використанні BX результуюча фраза виявляється недостатньо випадковою. Згідно зі звітом, «пристойний ігровий комп’ютер може виконати пошук грубою силою» або вгадати всі можливі комбінації слів для початкової фрази користувача «менш ніж за день».

«Подумайте про це як про захист свого онлайн-банківського рахунку за допомогою менеджера паролів, який створює довгий випадковий пароль», — йдеться у звіті. "Але він часто створює однакові паролі для кожного користувача. Зловмисники зрозуміли це та витягли кошти з будь-якого облікового запису, який вони знайшли".

Постраждали Ethereum, Zcash, Solana, Dogecoin

Milk Sad не обмежується Bitcoin. Ethereum, Zcash, Solana і навіть Dogecoin входять до списку восьми постраждалих блокчейнів. Подібні, але не ідентичні уразливості були виявлені в CAKE гаманець і Trust Wallet, обидва додатки гаманця з кількома ланцюжками.

Як правило, початкові фрази створюються за допомогою генератора, здатного створювати набір або «ключовий простір» із запаморочливою кількістю унікальних словосполучень, представлених експонентою двійкової цифри або «BIT» — по суті, числа два, зведеного до ступеня 128, 192 або 256.

BX має мізерний 32- BIT простір ключів, який може давати лише близько 4,3 мільярда унікальних комбінацій слів. «Це не так багато комбінацій, як це звучить», згідно зі звітом.

Ерік Воскуіл, провідний розробник BX, визнав, що початковий генератор справді небезпечний, але наполягав на відсутності помилки в програмному забезпеченні, стверджуючи, що текстову команду початкового коду bx було використано неправильно. Він опублікував у Twitter скріншот документації GitHub програми, який попереджає розробників про вразливість.

«Це не помилка в BX або Libbitcoin», — Воскуіл твітнув. «Це безрозсудний розвиток гаманця».

Кілька криптографів у спільноті Bitcoin висловили іншу думку.

«Справа кристально чиста» твітнув Тім Рафінг, криптограф компанії Blockstream, що займається інфраструктурою Bitcoin . «Це твоя помилка, і крапка».