Ένας χαμένος κωδικός πρόσβασης πορτοφολιού bitcoin βοήθησε να αποκαλυφθεί ένα σημαντικό ελάττωμα ασφαλείας

Την Τρίτη, η ομάδα είναι δημοσίευση πληροφοριών για το πώς το έκαναν. Ελπίζουν ότι είναι αρκετά δεδομένα ώστε οι ιδιοκτήτες εκατομμυρίων πορτοφολιών να συνειδητοποιήσουν ότι κινδυνεύουν και να μετακινήσουν τα χρήματά τους, αλλά όχι τόσο πολλά δεδομένα ώστε οι εγκληματίες να καταλάβουν πώς να κάνουν μια από τις μεγαλύτερες ληστείες όλων των εποχών.

Η start-up τους, Unciphered, έχει εργαστεί για μήνες για να ειδοποιήσει περισσότερους από ένα εκατομμύριο ανθρώπους ότι τα πορτοφόλια τους κινδυνεύουν. Εκατομμύρια ακόμη δεν έχουν ειπωθεί, συχνά επειδή τα πορτοφόλια τους δημιουργήθηκαν σε ιστότοπους κρυπτονομισμάτων που έχουν τεθεί εκτός λειτουργίας.

Η ιστορία των τρωτών σημείων αυτών των πορτοφολιών υπογραμμίζει τον τεράστιο κίνδυνο στα πειραματικά νομίσματα, πέρα ​​από τις άγριες διακυμάνσεις στην αξία τους και τους ταχέως μεταβαλλόμενους κανονισμούς. Πολλά πορτοφόλια δημιουργήθηκαν με κώδικα που περιέχει βαθιά ελαττώματα και οι εταιρείες που χρησιμοποίησαν αυτόν τον κωδικό μπορούν να εξαφανιστούν. Πέρα από αυτό, είναι μια απογοητευτική υπενθύμιση ότι κάτω από κάθε είδους υποδομή λογισμικού, ακόμη και από αυτές που είναι ρητά αφιερωμένες στην εξασφάλιση κεφαλαίων, υπάρχουν προγράμματα ανοιχτού κώδικα που ελάχιστοι ή καθόλου άνθρωποι επιβλέπουν.

«Οι ηλικίες ανοιχτού κώδικα όπως το γάλα. Τελικά θα πάει άσχημα», δήλωσε ο Chris Wysopal, συνιδρυτής της εταιρείας ασφαλείας Veracode που συμβούλεψε Αποκρυπτογραφημένο ως το διευθετήθηκε το πρόβλημα.

Η εταιρεία μοιράστηκε τη διαδικασία και τα συμπεράσματά της με την Washington Post πριν δημοσιοποιηθεί.

Ο κίνδυνος κακού κώδικα ανοιχτού κώδικα αποκαλύφθηκε το 2021, όταν ανακαλύφθηκε ότι το Log4j, ένα πανταχού παρόν εργαλείο που χρησιμοποιείται από τους εξυπηρετητές λογισμικού, το οποίο λίγοι καταναλωτές γνώριζαν, θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση κακόβουλου κώδικα. Η αποκάλυψη πανικοβλήθηκε εταιρείες σε όλο τον κόσμο και έκαναν την ασφάλεια ανοιχτού κώδικα κορυφαία προτεραιότητα για την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής του Υπουργείου Εσωτερικής Ασφάλειας, η οποία πιέζει τώρα τις εταιρείες να χαρτογραφήσουν όλα τα προγράμματα από τα οποία εξαρτώνται.

«Κάθε ανθρωπογενής τεχνολογία περιέχει ελαττώματα που προέρχονται από τους δημιουργούς της», δήλωσε ο συνιδρυτής της Unciphered, Eric Michaud.

Ο Στέφαν Τόμας, ο τεχνολόγος που δημιούργησε το λογισμικό που χρησιμοποιήθηκε για τη δημιουργία των πορτοφολιών, είπε στην The Post ότι το είχε κάνει ως χόμπι και είχε πάρει το βασικό μέρος του κώδικα από ένα πρόγραμμα που δημοσιεύτηκε στη σελίδα ενός φοιτητή του Πανεπιστημίου του Στάνφορντ, χωρίς να τσεκάρει για να δει αν ήταν ήχος.

«Αντίθετα, είχα εμμονή να βεβαιωθώ ότι δεν έκανα λάθη στον δικό μου κώδικα», είπε ο Thomas. “Λυπάμαι σε όποιον επηρεάζεται από αυτό το σφάλμα.”

Η Unciphered αποκαλεί το ελάττωμα “Randstorm”, επειδή προέρχεται από προγράμματα πορτοφολιού που δημιούργησαν κρυπτογραφικά κλειδιά που δεν ήταν αρκετά τυχαία. Αντί να φτιάχνουν ηλεκτρονικά κλειδιά που ήταν ένα στο τρισεκατομμύριο και επομένως πολύ δύσκολο για έναν ξένο να πλαστογραφήσει, έφτιαξαν κλειδιά που ήταν ένα στις χιλιάδες – ένας παράγοντας τυχαίας που εύκολα παραβιάζεται.

Αυτός που έβαλε την μπάλα σε κίνηση είναι ο επενδυτής Nick Sullivan, ένας πρώιμος πιστός του bitcoin που χρησιμοποίησε τον ιστότοπο Blockchain.info, από τότε που μετονομάστηκε σε Blockchain.com, για να φτιάξει ένα πορτοφόλι το 2014. Λίγο αργότερα, σκούπισε τη μνήμη του υπολογιστή του χωρίς να το καταλάβει δεν είχε αποθηκεύσει στον διαχειριστή κωδικών πρόσβασης τα γράμματα και τους αριθμούς που θα του έδιναν πρόσβαση στον κρυπτο λογαριασμό του.

«Ήταν ένα αρκετά απογοητευτικό σύνολο περιστάσεων», είπε ο Sullivan στην The Post. Εκείνη την εποχή, ήταν έξω περίπου 18.000 $. Αυτό το ποσό αξίζει τώρα 100.000 $ — αρκετά για να αξίζει τον κόπο να προσλάβει τους χάκερ και τους βετεράνους της Υπηρεσίας Εθνικής Ασφάλειας στο Unciphered για να προσπαθήσουν να το ανακτήσουν.

Το Unciphered, ένα από τα λίγα ρούχα αφιερωμένα στην ανάκτηση παγιδευμένων ηλεκτρονικών κεφαλαίων έναντι αμοιβής, άρχισε να ψάχνει για τα χρήματα του Sullivan τον Ιανουάριο του 2022.

Αποδείχθηκε ότι οι πληροφορίες που είχε ο Sullivan για το πώς είχε δημιουργήσει τον λογαριασμό δεν ήταν αρκετές για να αφήσουν τους ειδικούς του Unciphered να σπάσουν το πορτοφόλι. Όμως, μελετώντας το πρόβλημα, η ομάδα Unciphered αποκάλυψε ένα μεγαλύτερο ζήτημα: ο κώδικας του Thomas, γνωστός ως LibbitcoinJS, ο οποίος υποτίθεται ότι δημιουργούσε πορτοφόλια με τυχαία κλειδιά, δεν τα έκανε πάντα αρκετά τυχαία.

Επιδεινώνοντας το πρόβλημα, το Thomas’s Libbitcoin χρησιμοποιήθηκε όχι μόνο από το Blockchain.info, αλλά και από πολλούς άλλοι ιστότοποι από το 2011 και μετά, συμπεριλαμβανομένης της κύριας πηγής πορτοφολιών για το πρώην νόμισμα αστείου dogecoin, Dogechain.info. Ένα στέλεχος του ιδιοκτήτη αυτού του ιστότοπου, το Block.io, δεν απάντησε σε ένα email από το The Post που ζητούσε σχόλιο.

«Το BitcoinJS έχει διαλυθεί τρομερά μέχρι τον Μάρτιο του 2014», είπε ο Michaud, αναφερόμενος στο πρόγραμμα javascript Libbitcoin. «Όποιος το χρησιμοποιεί απευθείας βρίσκεται σε πολύ υψηλό κίνδυνο επίθεσης».

Οι κρυπτογράφοι ανακάλυψαν αδυναμίες στον τρόπο με τον οποίο τα περισσότερα από τα μεγάλα προγράμματα περιήγησης δημιούργησαν τυχαιότητα, η οποία επέτεινε το πρόβλημα, το 2014, και βελτιώθηκαν μετά. Προστέθηκαν επίσης το Blockchain.info και ορισμένοι άλλοι ιστότοποι περισσότερη τυχαιότητα, κάνοντας τα πορτοφόλια είναι πιο δύσκολο να σπάσουν. Η Unciphered δεν βρήκε κανένα πορτοφόλι που δημιουργήθηκε μετά το 2016 που να είναι ευάλωτο λόγω ασθενούς τυχαίας.

Αλλά αυτό εξακολουθεί να αφήνει ευάλωτα εκατομμύρια πορτοφόλια.

Το πιο εύκολο στο σπάσιμο θα ήταν τα πορτοφόλια που κατασκευάστηκαν πριν από τον Μάρτιο του 2012, τα οποία χωρούν περίπου 100 εκατομμύρια δολάρια και θα μπορούσαν να χακαριστούν από έναν χρήστη οικιακού υπολογιστή, είπε ο Michaud.

Ένα άλλο bitcoin αξίας 50 δισεκατομμυρίων δολαρίων αποθηκεύεται σε πορτοφόλια που δημιουργήθηκαν από τότε έως το τέλος του 2015. Τα περισσότερα από αυτά δεν είναι ευάλωτα, αλλά τουλάχιστον το 2 τοις εκατό από αυτά είναι, για άλλα 500 εκατομμύρια δολάρια, είπε η Unciphered. Στη συνέχεια, υπάρχουν άλλα νομίσματα με υπηρεσίες πορτοφολιού που δανείστηκαν από το Libbitcoin, συμπεριλαμβανομένων των dogecoin και του litecoin.

Η ανακάλυψη της ευπάθειας ήταν μόνο η μισή πρόκληση. Η Unciphered έπρεπε ακόμα να βρει πώς να πει σε εκατομμύρια ανθρώπους να μετακινήσουν τα χρήματά τους, χωρίς να αποκλείσει την ύπαρξη μιας τεράστιας ευπάθειας.

Δυστυχώς, πολλοί από τους ιστότοπους κρυπτογράφησης που είχαν χρησιμοποιήσει το ελαττωματικό πρόγραμμα ήταν εκτός λειτουργίας, όπως και ο Thomas.

Ο μη κρυπτογραφημένος νομικός σύμβουλος Στιούαρτ Μπέικερ, πρώην γενικός σύμβουλος στην Υπηρεσία Εθνικής Ασφάλειας, προσπαθώντας να προσδιορίσει το σωστό πράγμα που πρέπει να κάνει, έθεσε ακόμη και την ιδέα σε μια στήλη Πριν από ένα χρόνο, όταν ένας «λευκός ιππότης» έκλεψε ό,τι ήταν ευάλωτο σε ένα υποθετικό ελάττωμα κρυπτογράφησης και το κρατούσε, ενώ ξεχώριζε ποιος πραγματικά κατείχε τι.

Σημείωσε ότι είχε δημιουργηθεί ένα τέτοιο προηγούμενο το 2021, όταν ένας χάκερ επιτραχήλιο ένα τεράστιο ποσό 600 εκατομμυρίων δολαρίων σε εικονικό νόμισμα από την πλατφόρμα δανεισμού Poly Network και το επέστρεψε έναντι αμοιβής 500.000 δολαρίων και μια υπόσχεση ότι δεν θα διωχθεί.

Αλλά κανείς δεν ήθελε να διακινδυνεύσει τη δίωξη ή την αστική ευθύνη κλέβοντας από πολλούς ανθρώπους ταυτόχρονα, και στο τέλος «αυτό που αποφασίσαμε να κάνουμε», θυμάται ο Baker, «βρήκαμε την εταιρεία που ήταν σε θέση να διορθώσει ή να ειδοποιήσει τόσους πολλούς ανθρώπους. όσο το δυνατόν, με την ελπίδα ότι θα μπορούσαμε να διορθώσουμε πολλά από αυτά πριν διαρρεύσει η ακριβής φύση του προβλήματος».

Τελικά, ο Michaud συνειδητοποίησε ότι ο μεγαλύτερος παλιός χρήστης του προγράμματος πορτοφολιού ήταν αυτός που είχε χρησιμοποιήσει ο Sullivan, Blockchain.com.

Η πρώτη αλληλεπίδραση μεταξύ των δύο εταιρειών ήταν γεμάτη καχυποψίες. Ο καθένας ήθελε η άλλη πλευρά να υπογράψει μια συμφωνία μη αποκάλυψης, αλλά κανένας από τους δύο δεν θα το έκανε.

«Στην κρυπτογράφηση, πρέπει να είστε αρκετά δύσπιστοι με τους ανθρώπους που τηλεφωνούν με κάτι που ακούγεται δραματικό, επειδή υπάρχουν τόσοι πολλοί απατεώνες», θυμάται ο πρόεδρος του Blockchain.com, Lane Kasselman. «Δεν ήταν σαφές ποιοι ήταν και ποιο ήταν το εύρος του».

Αλλά οι αναφορές τους ελέγχθηκαν και ο Μπέικερ συμμετείχε σε μια ομαδική κλήση για να εξηγήσει ότι οι χάκερ των Unciphered ήταν καλοπροαίρετοι μάστορες ασφαλείας, όχι εκβιαστές. Το Blockchain.com συμφώνησε να βοηθήσει. Επεξεργάστηκε έναν τρόπο αυτόματης ενημέρωσης των πορτοφολιών όσων επισκέφτηκαν τον ιστότοπό του, άλλαξαν την εφαρμογή του και έστειλαν email στους κατόχους περισσότερων από 1,1 εκατομμυρίων πορτοφολιών που επηρεάστηκαν από τις 10 Οκτωβρίου, λιγότερο από το 2 τοις εκατό από τα 90 εκατομμύρια πορτοφόλια που διαθέτει. δημιουργήθηκε.

Φυσικά, πολλοί από αυτούς που ειδοποιήθηκαν ήταν και ύποπτοι. Ένας από αυτούς δημοσίευσε την ειδοποίηση σε μια συνομιλία για τους λάτρεις της κρυπτογράφησης και ζήτησε εικασίες για το τι συνέβαινε. Ο ειδικός ασφαλείας Dan Guido το είδε και δημοσίευσε στο X και κάποιος απάντησε δείχνοντας το α ειδοποίηση στον ιστότοπο της Unciphered λέγοντας ότι θα έχει κάτι σχετικό με το πορτοφόλι να ανακοινώσει στο μέλλον.

Στη συνέχεια, ο Guido ζήτησε από τους ανθρώπους της εταιρείας μηχανικών ασφαλείας του, Trail of Bits, να δουν σε τι μπορεί να αναφερόταν το Unciphered. Κατάλαβαν το ζήτημα σε μέρες, αλλά συμφώνησαν να σιωπήσουν μετά από αίτημα του Unciphered.

«Μπορούσαν να το κρατήσουν κρυφό για 20 μήνες, κάτι που είναι τρελό, και αυτό είναι που απαιτείται», είπε ο Guido. «Η ικανότητα των ανθρώπων να το εκμεταλλευτούν είναι εξαιρετικά υψηλή».

Οι καταναλωτές μπορούν να ελέγξουν εάν τα πορτοφόλια τους είναι ευάλωτα www.keybleed.com.

Δυστυχώς, το πορτοφόλι του Sullivan δεν ήταν μεταξύ εκείνων που υπέφεραν από το ελάττωμα ασφαλείας — κυρίως επειδή δημιούργησε το πορτοφόλι του το 2014, αφού το Blockchain.info είχε βελτιώσει την τυχαιότητα των πορτοφολιών του. Αν η ασφάλεια ήταν χειρότερη, θα μπορούσε να πάρει τα χρήματά του πίσω όταν το Blockchain.info ειδοποιούσε πελάτες με ευάλωτους λογαριασμούς.

Ούτως ή άλλως έχει τελειώσει με την κρυπτογράφηση, αφού ίδρυσε τρεις εταιρείες στον κλάδο και τελείωσε λίγο πιο φτωχή από όταν ξεκίνησε. Τώρα ασχολείται με την τεχνητή νοημοσύνη.

“Το Crypto είναι ένα αρκετά εχθρικό μέρος, για να είμαι ειλικρινής, γεμάτο από ανθρώπους που επιτίθενται σε αυτό που χτίζετε, είτε προσπαθούν να το χακάρουν, είτε προκλήσεις από ρυθμιστικές αρχές ή άλλους ανθρώπους που ενδιαφέρονται να δουν το bitcoin να καταρρίπτεται”, ο πρώην αληθινός είπε ο πιστός.

Αλλά είπε ότι ήταν χαρούμενος που κατέληξε να βοηθά έναν μεγάλο αριθμό αγνώστων που εξακολουθούν να επενδύονται συναισθηματικά αλλά και οικονομικά: «Τιμώ αυτούς που εξακολουθούν να αγωνίζονται σε αυτόν τον αγώνα».