Dans un récent rapport, Les experts en cybersécurité d'Unciphered ont dévoilé un nouvel exploit appelé Randstorm., ce qui constitue une menace pour les portefeuilles Bitcoin créés entre 2011 et 2015. Cet exploit permet la récupération potentielle des mots de passe, conduisant à un accès non autorisé à un nombre important de portefeuilles sur diverses plates-formes blockchain.
Un aperçu de l'exploit Randstorm
Randstorm est décrit par Unciphered comme un terme inventé pour représenter une combinaison de bugs., décisions de conception, et les modifications de l'API qui, lors de l'interaction, diminuer considérablement la qualité des nombres aléatoires produits par les navigateurs Web au cours de la période spécifiée (2011-2015). On estime que la vulnérabilité aura un impact sur environ 1.4 millions de bitcoins stockés dans des portefeuilles générés avec des clés cryptographiques potentiellement faibles. Les utilisateurs concernés peuvent vérifier la vulnérabilité de leur portefeuille sur www.keybleed[.]avec.
La genèse de cette vulnérabilité a été redécouverte par la société de récupération de cryptomonnaies en janvier 2022 tout en aidant un client anonyme exclu de son portefeuille Blockchain.com. Bien que initialement signalé par un chercheur en sécurité “kétamine” à 2018, le problème a refait surface, mettre en lumière les risques persistants associés aux premiers portefeuilles Bitcoin.
BitcoinJS au cœur de la problématique
La vulnérabilité remonte à l'utilisation de BitcoinJS, un package JavaScript open source utilisé pour développer des applications de portefeuille de crypto-monnaie basées sur un navigateur. Randstorm exploite spécifiquement la dépendance du package à l'égard de SecureRandom() fonction dans la bibliothèque javascript JSBN, couplé aux faiblesses cryptographiques des navigateurs Web’ implémentation du Math.random() fonction prédominante au cours de la 2011-2015 période. Notamment, Les responsables de BitcoinJS ont arrêté d'utiliser JSBN en mars 2014.
Le manque d’entropie suffisante résultant de ces vulnérabilités ouvre la porte à de potentielles attaques par force brute, permettre à des acteurs malveillants de récupérer les clés privées de portefeuille générées avec la bibliothèque BitcoinJS ou ses projets dépendants. Portefeuilles créés avant mars 2012 sont particulièrement sensibles, soulignant l'urgence pour les utilisateurs d'évaluer la sécurité de leurs actifs.
Cette découverte souligne l'importance cruciale d'examiner minutieusement les dépendances open source qui alimentent l'infrastructure logicielle.. Vulnérabilités dans les bibliothèques fondamentales, comme démontré dans le cas d'Apache Log4j à la fin 2021, peut avoir des conséquences considérables, posant des risques importants pour la chaîne d’approvisionnement. Il convient de noter que la faille dans les portefeuilles créés avec ce logiciel persiste à moins que les fonds ne soient transférés vers un nouveau portefeuille créé avec un logiciel mis à jour., soulignant la nécessité pour les utilisateurs de rester vigilants et de prendre des mesures proactives pour sécuriser leurs actifs numériques.