I en nylig rapport, cybersikkerhedseksperter hos Unciphered har afsløret en ny udnyttelse kaldet Randstorm, som udgør en trussel mod Bitcoin tegnebøger oprettet mellem 2011 og 2015. Denne udnyttelse giver mulighed for potentiel gendannelse af adgangskoder, fører til uautoriseret adgang til et betydeligt antal tegnebøger på tværs af forskellige blockchain-platforme.
Et kig ind i Randstorm-udnyttelsen
Randstorm er beskrevet af Unciphered som et udtryk, der er opfundet for at repræsentere en kombination af fejl, design beslutninger, og API ændrer det, når man interagerer, betydeligt formindske kvaliteten af tilfældige tal produceret af webbrowsere i den angivne æra (2011-2015). Sårbarheden vurderes at påvirke ca 1.4 millioner bitcoins gemt i tegnebøger genereret med potentielt svage kryptografiske nøgler. Bekymrede brugere kan tjekke sårbarheden i deres tegnebøger på www.keybleed[.]med.
Opkomsten af denne sårbarhed blev genopdaget af cryptocurrency-gendannelsesfirmaet i januar 2022 mens han hjalp en unavngiven kunde, der blev låst ude af deres Blockchain.com-pung. Selvom det oprindeligt blev markeret af sikkerhedsforsker “ketamin” i 2018, problemet dukkede op igen, kaste lys over de vedvarende risici forbundet med tidlige Bitcoin-punge.
BitcoinJS i hjertet af problemet
Sårbarheden spores tilbage til brugen af BitcoinJS, en open source JavaScript-pakke, der bruges til at udvikle browserbaserede cryptocurrency wallet-applikationer. Randstorm udnytter specifikt pakkens afhængighed af SecureRandom() funktion i JSBN javascript-biblioteket, kombineret med kryptografiske svagheder i webbrowsere’ implementering af Math.random() funktion udbredt i løbet af 2011-2015 periode. Især, BitcoinJS-vedligeholdere stoppede brugen af JSBN i marts 2014.
Manglen på tilstrækkelig entropi som følge af disse sårbarheder åbner døren til potentiale brute-force angreb, tillader ondsindede aktører at gendanne pung private nøgler genereret med BitcoinJS-biblioteket eller dets afhængige projekter. Tegnebøger oprettet før marts 2012 er særligt modtagelige, fremhæver, hvor meget det haster med at vurdere sikkerheden af deres aktiver.
Denne opdagelse understreger den kritiske betydning af at undersøge open source-afhængigheder, der driver softwareinfrastrukturen. Sårbarheder i grundlæggende biblioteker, som demonstreret i tilfældet med Apache Log4j sent 2021, kan have vidtrækkende konsekvenser, udgør væsentlige forsyningskæderisici. Det er værd at bemærke, at fejlen i tegnebøger oprettet med denne software fortsætter, medmindre penge overføres til en ny tegnebog, der er oprettet med opdateret software, understreger behovet for, at brugere forbliver på vagt og tager proaktive skridt for at sikre deres digitale aktiver.