Les chercheurs ont découvert une vulnérabilité résidant dans le JavaScript SecureRandom() fonction utilisée pour générer des adresses de Bitcoin aléatoires et leurs clés privées correspondantes.
La faille fait les anciennes adresses Bitcoin générées dans le navigateur ou via l'application de portefeuille à base JS vulnérable aux attaques de force brute. Par conséquent, les attaquants peuvent avoir accès aux portefeuilles des utilisateurs et voler leurs fonds de crypto-monnaie.
JavaScript SecureRandom() Bibliothèque Pas Solidement Aléatoire
Cryptography est profondément impitoyables d'erreurs. On ne badine pas avec elle. Vous ne penchez pas votre propre - vous avez besoin d'algorithmes aguerris qui ont été testées par torture les plus vous pouvez trouver techniquement cryptographes impitoyable, dit les chercheurs qui ont signalé la question.
En plus de cela, ils ont ajouté, "le SecureRandom populaire JavaScript() bibliothèque est pas bien au hasard".
La question est liée à la présence de la fonction ne génère pas des données aléatoires comme il est censé faire.
La fonction va générer des clés cryptographiques, malgré leur longueur, ont moins de 48 bits d'entropie, ce qui signifie que la sortie de la clé aura pas plus de 48 bits d'entropie, même si sa semence a plus que, les chercheurs ont ajouté.
SecureRandom() puis exécute le nombre qu'il obtient par l'algorithme RC4 obsolète, qui est connu pour être plus prévisible que cela devrait être, i.e. moins de bits d'entropie. Ainsi, votre clé est plus prévisible.
Tous les moyens ci-dessus que les adresses générées par le Bitcoin la SecureRandom() fonction sont sujettes à des attaques de force brute qui peut révéler la clé privée de l'utilisateur. Si ce dernier arrive, Les fonds de l'utilisateur peuvent être volés.
Qui est affecté?
Apparemment, tous les portefeuilles générés par des outils js dans les navigateurs depuis le début de Bitcoin jusqu'à 2011 sont touchés par la faiblesse Math.random le cas échéant aux mises en œuvre connexes, le Math.random ou RC4 (Chrome) faiblesse entre 2011 et 2013, et la faiblesse RC4 pour les utilisateurs de Chrome jusqu'à la fin du 2015, les chercheurs ont précisé.
En d'autres termes, ces clés seront faciles à se fissurer par une attaque de force brute de puissance de calcul.
Le défaut affecte les utilisateurs si elles utilisent les anciennes adresses générées via JavaScript crypto dans le navigateur. Si tel est le cas, les utilisateurs doivent passer immédiatement leurs fonds loin de ces portefeuilles.
Les éléments suivants sont probablement affectés:
– BitAddress pré-2013;
– bitcoinjs avant 2014;
– logiciel actuel qui utilise de vieilles prises en pension qu'ils ont trouvé sur Github.
Ces dernières adresses générées par JavaScript ne sont probablement pas affectées, les chercheurs disent. Cependant, JavaScript n'est pas la meilleure façon de générer des clés, il est donc préférable que les utilisateurs migrent leurs fonds.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: