Beveiligingsbedrijf Muntspect heeft een crypto-portemonnee-fout onthuld die het noemt Ziek bloeien aanvallers maken er al gebruik van. De fout zit hem in de manier waarop sommige portefeuillesoftware zijn herstelzin heeft gegenereerd, de woorden die het geld beheersen. Wanneer die zin met een zwakke willekeur wordt gemaakt, kan een aanvaller deze uitwerken en alles afpakken waar hij controle over heeft.
Coinspect heeft op 27 mei een gecoördineerde sweep bevestigd die ongeveer $3,1 miljoen uit 431 portemonnees heeft weggenomen. Er staat dat er sindsdien ongeveer $2 miljoen meer uit de blootgestelde portemonnees is verdwenen. Hoeveel daarvan diefstal was, en hoeveel eigenaren hun eigen geld in veiligheid brachten, is nog niet duidelijk.
Zoals het bedrijf het stelt: “Als fondsen onlangs zonder uw toestemming zijn verplaatst, kan deze kwetsbaarheid de reden zijn.”
Met de meeste mensen gaat het waarschijnlijk goed. Coinspect zegt dat portemonnees die op hardwareapparaten zijn gemaakt, niet worden beïnvloed, en de meeste reguliere softwareportefeuilles ook niet. Het echte risico ligt bij oudere of minder bekende mobiele portemonnees, waarvan sommige teruggaan tot 2018.
Coinspect heeft de betrokken apps niet genoemd, dus de enige manier om daar achter te komen is door te controleren. Plak uw openbare portemonnee-adres in de gratis checker op illbloom.org. Een match betekent dat de herstelzin als gecompromitteerd moet worden beschouwd, dus verplaats uw geld naar een nieuwe portemonnee.
Wat is er eigenlijk kapot gegaan
Elke portemonnee voor eigen beheer begint met een herstelzin, meestal 12 of 24 woorden, ook wel een zaadzin genoemd. Het is de bedoeling dat deze woorden willekeurig worden gekozen uit een verzameling die zo groot is dat het raden ervan hopeloos is. De getroffen portemonnees waren niet willekeurig genoeg. Hun software gebruikte een zwakke generator voor willekeurige getallen bij het maken van de zin.
Dat verkleinde de verzameling mogelijke zinnen van astronomisch groot naar een bereik dat een aanvaller kon doorzoeken. Hoe klein precies heeft Coinspect niet gepubliceerd.
Coinspect zegt dat het de aanval van begin tot eind heeft herbouwd. Het werkte door de volledige reeks zinnen die de zwakke generator kon produceren, leidde de portemonnee-adressen af waar elke map naartoe leidt, en controleerde vervolgens de openbare blockchain-records op de adressen die nog steeds geld bevatten.
Het resultaat is een volglijst van portemonnees die zwak zijn geboren, ongeacht welke app ze heeft gegenereerd.
De diefstal, in cijfers
Op 30 juni had Coinspect 2.114 blootgestelde adressen met on-chain-activiteit getraceerd in Bitcoin, Ethereum, Rootstock, Tron en Polygon. De sweep van 27 mei heeft ongeveer $3,1 miljoen van 431 van hen weggenomen. Bitcoin kreeg er het slechtste van met ongeveer $2,57 miljoen, en een enkel Bitcoin-adres verloor op zichzelf al meer dan $1,1 miljoen.
Coinspect kon zien dat het om een gecoördineerde diefstal ging, omdat honderden niet-gerelateerde portemonnees hun saldo binnen enkele uren naar dezelfde paar ophaaladressen stuurden.
Als we deze laatste bewegingen meerekenen, is er sinds 27 mei ruim $5 miljoen uit deze portemonnees verdwenen. Coinspect noemt dat een bodem, geen plafond: het heeft tot nu toe alleen deze reeks adressen in kaart gebracht en verwacht meer. Op het hoogtepunt van 2022 was dezelfde set een gereconstrueerde $12,56 miljoen waard, hoewel het grootste deel van die waarde al vóór de sweep van 27 mei met de markt was gedaald.
Wat te doen
De checker op illbloom.org vergelijkt een openbaar portemonnee-adres met de lijst van Coinspect met bekende kwetsbare portemonnees. Het accepteert adressen in Bitcoin-, Tron-, Solana- en Ethereum-stijl (Ethereum, Polygon, BNB en andere EVM-ketens).
Eén zwakke zin kan geld blootleggen in elke keten die het controleert, dus controleer elk adres dat aan hetzelfde zaad is gekoppeld, en niet alleen de adresjes die al leeg zijn. Een schoon resultaat is geen garantie, aangezien de lijst onvolledig is, maar een match is een duidelijke waarschuwing.
Als uw adres overeenkomt:
- Behandel de herstelzin als gecompromitteerd. Het geld is niet veilig alleen omdat het nog niet is verplaatst.
- Creëer een gloednieuwe portemonnee met een gloednieuwe zin. Je zou een nieuwe reeks van 12 tot 24 woorden moeten zien. Als een app u vraagt uw oude zin in te typen, heropent u de zwakke portemonnee en maakt u geen nieuwe aan.
- Verplaats uw geld naar de nieuwe portemonnee. Het opnieuw installeren van de oude app of het importeren van dezelfde zin ergens anders verandert niets.
Nog een waarschuwing. Dergelijke oplichting trekt oplichters aan die aanbieden uw geld te ‘redden’. Een echte controleur heeft nooit een geheim nodig. Coinspect zegt dat het “nooit zal vragen om zaadzinnen, privésleutels, handtekeningen of goedkeuringen, of gebruikers zal vragen geld te sturen om een portemonnee te ‘herstellen’ of te beschermen.”
Typ nooit uw herstelzin, privésleutel, wachtwoord of back-upbestand in een site of bericht. Een hardware wallet is de veiligste plek om geld over te maken, maar genereer een nieuwe zin op het apparaat in plaats van de oude te importeren.
Dit hebben we eerder gezien
Dit is een oude mislukking met een nieuwe naam. Coinspect heeft ‘Ill Bloom’ overgenomen van ‘ziektebloesem’, de eerste zwakke zin die de generator produceert, op dezelfde manier waarop Milk Sad in 2023 naar ‘milk sad’ werd vernoemd. Die bug (CVE-2023-39910), in de opdrachtregeltool van Libbitcoin Explorer, zorgde ervoor dat dieven in juli in één keer miljoenen buitmaakten.
Een naaste neef (CVE-2023-31290) gebruikte in hetzelfde jaar de Trust Wallet-browserextensie, die binnen een dag kon worden gekraakt.
In dezelfde valstrik viel Randstorm, de zwakke willekeursfout die THN in 2023 behandelde, waardoor Bitcoin-portefeuilles die tussen 2011 en 2015 werden gemaakt, kraakbaar werden omdat de browsercode erachter slechte willekeurige getallen gebruikte.
De onderzoekers merkten toen op dat de fout voor altijd in die portemonnees was ingebakken, en de enige oplossing was om het geld naar een nieuwe portemonnee te verplaatsen die met betere software was gemaakt. Dat is precies de oplossing voor Ill Bloom.
Elke paar jaar blijkt de willekeurige nummergenerator van een portemonnee voorspelbaar te zijn. Portefeuilles die er veilig uitzagen, worden leeggemaakt. De oplossing is altijd hetzelfde: verplaats het geld naar een nieuwe plek. De portemonnee ziet er prima uit en de woorden zien er willekeurig uit, maar de machine die ze heeft uitgekozen was voorspelbaar. Een voorspelbare sleutel is nauwelijks een sleutel.
Wat is het volgende
De open vraag is nu welke apps de zwakke zinnen genereerden. Een openbaar adres onthult niet degene die het heeft gemaakt, dus vraagt Coinspect gematchte gebruikers om te rapporteren wat ze hebben gebruikt, en geeft de bevindingen door aan de leveranciers en teams die ernaar kunnen handelen.
The Hacker News heeft Coinspect benaderd voor commentaar over welke portemonnee-apps de zwakke herstelzinnen produceerden en over de reikwijdte van de blootgestelde set, en zal dit verhaal bijwerken met elk antwoord.