利用错误的随机种子生成算法,一系列攻击耗尽了 BTC 用户的钱包。
根据区块链安全公司 SlowMist 的一份报告,Libbitcoin Explorer 3.x 库中新发现的漏洞已导致比特币用户的价值超过 90 万美元被盗。该漏洞还会影响使用 Libbitcoin 生成账户的以太坊、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 用户。
Libbitcoin 是一种比特币钱包实现,开发人员和验证者有时用它来创建比特币和其他加密货币账户。据其官网介绍,它被“Airbitz(移动钱包)、Bitprim(开发者界面)、Blockchain Commons(去中心化钱包身份)、Cancoin(去中心化交易所)”等应用程序使用。SlowMist 没有具体说明哪些使用 Libbitcoin 的应用程序(如果有的话)受到该漏洞的影响。
慢雾科技确认网络安全团队“Distrust”是最初发现该漏洞的团队,该漏洞被称为“Milk Sad”漏洞。该漏洞已于8月7日报告给CEV网络安全漏洞数据库。
根据该帖子,Libbitcoin Explorer 的密钥生成机制有缺陷,导致私钥被攻击者猜测。结果,截至 8 月 10 日,攻击者利用此漏洞窃取了价值超过 90 万美元的加密货币。
SlowMist 强调,其中一次攻击窃取了超过 9.7441 BTC(约 278,318 美元)。该公司声称已“封锁”该地址,这意味着该团队已联系交易所以防止攻击者兑现资金。该团队还表示,将监控该地址,以防资金被转移到其他地方。
Distrust 团队的四名成员以及声称帮助发现该漏洞的八名自由职业安全顾问已经建立了一个解释该漏洞的信息网站。他们解释说,当用户使用“bx seeds”命令生成钱包种子时,就会产生该漏洞。该命令“使用以 32 位系统时间初始化的 Mersenne Twister 伪随机数生成器 (PRNG)”,缺乏足够的随机性,因此有时会为多人生成相同的种子。
研究人员声称,当一名 Libbitcoin 用户联系他们时发现了该漏洞,该用户的 BTC 于 7 月 21 日神秘失踪。当该用户联系其他 Libbitcoin 用户试图确定 BTC 是如何丢失的时,该人发现其他用户的比特币也被盗走。
Cointelegraph 联系了 Libbitcoin Institute 成员 Eric Voskuil 寻求评论。作为回应,Voskuil 表示,bx 种子命令是为了方便使用该工具来演示需要熵的行为,并不打算在生产钱包中使用。如果人们确实将其用于生产关键种子(而不是例如掷骰子),那么警告是不够的。在这种情况下,我们可能会在接下来的几天内做出一些改变,以加强对生产使用的警告,或者完全删除该命令。
钱包漏洞在 2023 年继续给加密货币用户带来问题。6 月份 Atomic 钱包遭受黑客攻击,损失超过 1 亿美元,该应用团队于 6 月 22 日承认这一事件。网络安全认证平台 CER 于 7 月发布了钱包安全排名,指出 45 个钱包品牌中只有 6 个采用渗透测试来发现漏洞
