Μια σημαντική ευπάθεια που βρέθηκε στο λογισμικό πορτοφολιών πρώιμης κρυπτογράφησης κινδυνεύει δισεκατομμύρια περιουσιακά στοιχεία

Μια κρίσιμη ευπάθεια στα πρώιμα πορτοφόλια κρυπτονομισμάτων, που εντοπίστηκε από την startup για την ασφάλεια στον κυβερνοχώρο Unciphered, απειλεί δισεκατομμύρια δολάρια σε ψηφιακά περιουσιακά στοιχεία. Προερχόμενο από ένα ελάττωμα στο λογισμικό BitcoinJS που χρησιμοποιείται για τη δημιουργία πορτοφολιών μεταξύ 2011 και 2015, αυτό το ζήτημα εκθέτει τα πορτοφόλια σε πιθανή εκμετάλλευση. Εκατομμύρια χρήστες καλούνται να μεταφέρουν τα περιουσιακά τους στοιχεία σε πορτοφόλια που δημιουργούνται με ενημερωμένο, ασφαλές λογισμικό.

Η αναφορά δείχνει τα πρώιμα πορτοφόλια κρυπτογράφησης εκτεθειμένα σε ευπάθεια δισεκατομμυρίων δολαρίων

ΑποκρυπτογραφημένοΗ εξαντλητική 22μηνη έρευνα του έχει αποκαλύψει ένα σημαντικό ελάττωμα στο BitcoinJS, ένα ευρέως χρησιμοποιούμενο εργαλείο δημιουργίας πορτοφολιών κρυπτονομισμάτων που βασίζεται σε πρόγραμμα περιήγησης. Αυτό το ελάττωμα προέρχεται από τη συνάρτηση SecureRandom στη βιβλιοθήκη javascript JSBN, σε συνδυασμό με αδυναμίες στις εφαρμογές Math.random των μεγάλων προγραμμάτων περιήγησης. Αυτή η ευπάθεια, που επηρεάζει τα πορτοφόλια που δημιουργήθηκαν από το 2011 έως το 2015, τα καθιστά ευάλωτα σε επιθέσεις, με τα προηγούμενα πορτοφόλια να είναι πιο ευάλωτα.

Η Unciphered αποκάλυψε ότι έχει συντονιστεί με διάφορες οντότητες για να ειδοποιήσει εκατομμύρια χρήστες σχετικά με αυτήν την ευπάθεια. Για άτομα με περιουσιακά στοιχεία σε πορτοφόλια που επηρεάζονται, συνιστάται η άμεση δράση: μεταφορά περιουσιακών στοιχείων σε πορτοφόλια που δημιουργήθηκαν πρόσφατα χρησιμοποιώντας αξιόπιστο λογισμικό. Αυτό το προληπτικό βήμα είναι ζωτικής σημασίας για την προστασία των ψηφιακών περιουσιακών στοιχείων από πιθανή εκμετάλλευση.

Η ευπάθεια εμφανίστηκε για πρώτη φορά για την ομάδα κατά τη διάρκεια ενός έργου για έναν πελάτη που κλειδώθηκε από ένα πορτοφόλι bitcoin Blockchain.com. Αυτό οδήγησε στην εκ νέου ανακάλυψη ενός πιθανού ζητήματος στα πορτοφόλια που δημιουργήθηκαν από το BitcoinJS από το 2011-2015. Η επίπτωση είναι συγκλονιστική, επηρεάζοντας δυνητικά εκατομμύρια πορτοφόλια κρυπτονομισμάτων που δημιουργήθηκαν κατά τη διάρκεια αυτής της περιόδου, με σημαντική αξία περιουσιακών στοιχείων σε κίνδυνο.

Η ευπάθεια προκύπτει από τον τρόπο με τον οποίο το BitcoinJS, μια εφαρμογή Javascript του Bitcoin, χρησιμοποίησε τη συνάρτηση SecureRandom της βιβλιοθήκης JSBN. Η ανεπάρκεια αυτής της συνάρτησης, ιδιαίτερα στη συλλογή της εντροπίας και στο PRNG (ψευδοτυχαία γεννήτρια αριθμών), δημιουργεί μια κατάσταση όπου το βασικό υλικό θα μπορούσε ενδεχομένως να ανακτηθεί από έναν εισβολέα. Η αποτυχία της συνάρτησης SecureRandom να χρησιμοποιήσει αποτελεσματικά τις κρυπτογραφικές λειτουργίες του προγράμματος περιήγησης επιδείνωσε αυτό το ζήτημα, βασιζόμενη αντ’ αυτού σε ασθενέστερες μεθόδους RNG.

Αυτή η κατάσταση είναι κρίσιμη επειδή τα ιδιωτικά κλειδιά bitcoin, που απαιτούν 256 bit εντροπίας, δημιουργήθηκαν με λιγότερη εντροπία από αυτή που χρειαζόταν. Ο ποικίλος αντίκτυπος αυτής της ευπάθειας κάνει ορισμένα πορτοφόλια πιο επιρρεπή σε επιθέσεις από άλλα. Ωστόσο, ορισμένα μέτρα μετριασμού, όπως η ενσωμάτωση πρόσθετων πηγών εντροπίας, έχουν εφαρμοστεί με την πάροδο του χρόνου, μειώνοντας τον κίνδυνο για νεότερα πορτοφόλια.

Η ευπάθεια εκτείνεται πέρα ​​από το bitcoin, επηρεάζοντας δυνητικά τα πορτοφόλια dogecoin, litecoin και zcash. Διάφορες υπηρεσίες πορτοφολιού και έργα που άντλησαν τον κώδικά τους από το BitcoinJS, συμπεριλαμβανομένων δημοφιλών όπως το Dogechain.info και το Blockchain.info, ενδέχεται επίσης να επηρεαστούν. Αυτό υπογραμμίζει τις ευρέως διαδεδομένες επιπτώσεις της ευπάθειας σε πολλά κρυπτονομίσματα.

Οι ερευνητές του Unciphered αναφέρουν λεπτομερώς ότι ιστορικά, οι εξαρτήσεις βιβλιοθηκών τρίτων έχουν συχνά οδηγήσει σε τρωτά σημεία στην ανάπτυξη λογισμικού. Παρόμοια ζητήματα έχουν παρατηρηθεί σε άλλα έργα, όπως το OpenSSL σε πλατφόρμες Debian. Η τρέχουσα κατάσταση με το BitcoinJS και το οικοσύστημά του αποτελεί παράδειγμα αυτού του διαρκούς κινδύνου στην ανάπτυξη λογισμικού, ειδικά όταν πρόκειται για την εξασφάλιση χρηματοοικονομικών περιουσιακών στοιχείων και ευαίσθητων πληροφοριών.

Τι πιστεύετε για το σφάλμα που ανακαλύφθηκε το Unciphered; Μοιραστείτε τις σκέψεις και τις απόψεις σας σχετικά με αυτό το θέμα στην παρακάτω ενότητα σχολίων.

από Bitcoin News