Bitcoin-wallets die tussen 2011 en 2015 zijn gemaakt, zijn vatbaar voor een nieuw soort exploit, genaamd Randstorm dat het mogelijk maakt om wachtwoorden te herstellen en ongeautoriseerde toegang te krijgen tot een groot aantal portemonnees verspreid over verschillende blockchain-platforms.
“Randstorm() is een term die we hebben bedacht om een verzameling bugs, ontwerpbeslissingen en API-wijzigingen te beschrijven die, wanneer ze met elkaar in contact worden gebracht, samen de kwaliteit van willekeurige getallen die door webbrowsers uit een bepaald tijdperk worden geproduceerd, dramatisch verminderen ( 2011-2015),” Unciphered onthuld in een rapport dat vorige week werd gepubliceerd.
Er wordt geschat dat ongeveer 1,4 miljoen bitcoins geparkeerd staan in portefeuilles die zijn gegenereerd met potentieel zwakke cryptografische sleutels. Klanten kunnen op www.keybleed controleren of hun portemonnee kwetsbaar is[.]com.
Het cryptocurrency-herstelbedrijf zei dat het het probleem in januari 2022 opnieuw ontdekte terwijl het werkte voor een niet bij naam genoemde klant die geen toegang meer had tot zijn Blockchain.com-portemonnee. Het probleem werd in 2018 voor het eerst onder de aandacht gebracht door een beveiligingsonderzoeker die de alias ‘ketamine’ draagt.
De kern van de kwetsbaarheid komt voort uit het gebruik van BitcoinJS, een open-source JavaScript-pakket dat wordt gebruikt voor het ontwikkelen van browsergebaseerde portemonnee-applicaties voor cryptocurrency.
Randstorm is met name geworteld in de afhankelijkheid van het pakket van de SecureRandom()-functie in de JSBN javascript-bibliotheek, gekoppeld aan cryptografische zwakheden die op dat moment bestonden in de implementatie van de Math.random()-functie door de webbrowsers, waardoor een zwak pseudowillekeurig getal mogelijk was. generatie. Beheerders van BitcoinJS stopten in maart 2014 met het gebruik van JSBN.
Als gevolg hiervan zou het gebrek aan voldoende entropie kunnen worden uitgebuit om brute-force-aanvallen uit te voeren en de privésleutels van de portemonnee te herstellen die zijn gegenereerd met de BitcoinJS-bibliotheek (of de daarvan afhankelijke projecten). De gemakkelijkste portefeuilles om open te breken waren de portefeuilles die vóór maart 2012 waren gegenereerd.
De bevindingen werpen opnieuw een nieuw licht op de open-source-afhankelijkheden die de software-infrastructuur aandrijven en hoe kwetsbaarheden in dergelijke fundamentele bibliotheken opeenvolgende risico’s voor de toeleveringsketen kunnen hebben, zoals eerder blootgelegd in het geval van Apache Log4j eind 2021.
“De fout was al ingebouwd in portemonnees die met de software waren gemaakt, en het zou daar voor altijd blijven tenzij het geld werd verplaatst naar een nieuwe portemonnee die met nieuwe software was gemaakt”, aldus Unciphered.
