In einem aktuellen Bericht, Cybersicherheitsexperten von Unciphered haben einen neuen Exploit namens Randstorm aufgedeckt, Dies stellt eine Bedrohung für die zwischen ihnen erstellten Bitcoin-Wallets dar 2011 und 2015. Dieser Exploit ermöglicht die potenzielle Wiederherstellung von Passwörtern, Dies führt zu unbefugtem Zugriff auf eine beträchtliche Anzahl von Wallets auf verschiedenen Blockchain-Plattformen.
Ein Blick in den Randstorm-Exploit
Randstorm wird von Unciphered als ein Begriff beschrieben, der eine Kombination von Fehlern darstellt, Designentscheidungen, und die API ändert das, bei der Interaktion, Die Qualität der von Webbrowsern im angegebenen Zeitraum erzeugten Zufallszahlen erheblich verringern (2011-2015). Es wird geschätzt, dass die Sicherheitslücke ungefähr ungefähr Auswirkungen hat 1.4 Millionen Bitcoins, die in Wallets gespeichert sind, die mit potenziell schwachen kryptografischen Schlüsseln generiert wurden. Besorgte Benutzer können die Verwundbarkeit ihrer Wallets unter www.keybleed überprüfen[.]mit.
Der Ursprung dieser Schwachstelle wurde im Januar vom Unternehmen zur Wiederherstellung von Kryptowährungen wiederentdeckt 2022 während er einem namentlich nicht genannten Kunden hilft, der aus seinem Blockchain.com-Wallet ausgeschlossen ist. Obwohl ursprünglich von Sicherheitsforschern gemeldet “Ketamin” in 2018, Das Problem tauchte erneut auf, Wir beleuchten die anhaltenden Risiken, die mit frühen Bitcoin-Geldbörsen verbunden sind.
BitcoinJS im Mittelpunkt des Problems
Die Schwachstelle wird auf die Verwendung von BitcoinJS zurückgeführt, ein Open-Source-JavaScript-Paket, das zur Entwicklung browserbasierter Kryptowährungs-Wallet-Anwendungen verwendet wird. Randstorm nutzt gezielt die Abhängigkeit des Pakets vom SecureRandom aus() Funktion in der JSBN-Javascript-Bibliothek, gepaart mit kryptografischen Schwächen in den Webbrowsern’ Implementierung des Math.random() Funktion vorherrschend während der 2011-2015 Zeitraum. Vor allem, Die BitcoinJS-Betreuer haben die Verwendung von JSBN im März eingestellt 2014.
Der aus diesen Schwachstellen resultierende Mangel an ausreichender Entropie öffnet die Tür zu Potenzial Brute-Force-Angriffe, Ermöglicht böswilligen Akteuren die Wiederherstellung privater Wallet-Schlüssel, die mit der BitcoinJS-Bibliothek oder ihren abhängigen Projekten generiert wurden. Wallets, die vor März erstellt wurden 2012 sind besonders anfällig, Dies unterstreicht die Dringlichkeit, dass Benutzer die Sicherheit ihrer Vermögenswerte bewerten müssen.
Diese Entdeckung unterstreicht die entscheidende Bedeutung der Untersuchung von Open-Source-Abhängigkeiten, die die Software-Infrastruktur antreiben. Schwachstellen in grundlegenden Bibliotheken, wie zuletzt im Fall von Apache Log4j demonstriert wurde 2021, kann weitreichende Folgen haben, Dies birgt erhebliche Risiken in der Lieferkette. Es ist erwähnenswert, dass der Fehler in Wallets, die mit dieser Software erstellt wurden, bestehen bleibt, es sei denn, Gelder werden auf ein neues Wallet übertragen, das mit aktualisierter Software erstellt wurde, Betonung der Notwendigkeit, dass Benutzer wachsam bleiben und proaktive Maßnahmen ergreifen, um ihre digitalen Vermögenswerte zu schützen.