最近のレポートでは, Unciphered のサイバーセキュリティ専門家は、Randstorm と呼ばれる新しいエクスプロイトを暴露しました, これは、間に作成されたビットコインウォレットに脅威をもたらします。 2011 と 2015. このエクスプロイトにより、パスワードの回復が可能になります。, さまざまなブロックチェーンプラットフォームにわたる相当数のウォレットへの不正アクセスにつながる.
Randstorm エクスプロイトの調査
Unciphered では、Randstorm はバグの組み合わせを表すために作られた用語であると説明されています。, 設計上の決定, API の変更により、, やりとりするとき, 指定された期間中に Web ブラウザによって生成された乱数の品質を大幅に低下させる (2011-2015). この脆弱性は次のような影響を与えると推定されています。 1.4 脆弱な可能性のある暗号キーを使用して生成されたウォレットに保管されている数百万ビットコイン. 懸念のあるユーザーは、www.keybleed でウォレットの脆弱性を確認できます。[.]com.
この脆弱性の起源は、1 月に仮想通貨回収会社によって再発見されました。 2022 Blockchain.com ウォレットからロックアウトされた匿名の顧客を支援しながら. 当初はセキュリティ研究者によって警告されていましたが、 “ケタミン” の 2018, 問題が再浮上した, 初期のビットコインウォレットに伴う永続的なリスクに光を当てる.
問題の中心にある BitcoinJS
この脆弱性は BitcoinJS の使用に遡ります。, ブラウザベースの暗号通貨ウォレット アプリケーションの開発に利用されるオープンソースの JavaScript パッケージ. Randstorm は、パッケージの SecureRandom への依存を特に利用します。() JSBN JavaScript ライブラリの関数, Web ブラウザの暗号化の弱点と組み合わせる’ Math.random の実装() の間に普及している機能 2011-2015 限目. 特に, BitcoinJS のメンテナーは 3 月に JSBN の使用を中止しました 2014.
これらの脆弱性によって十分なエントロピーが不足すると、潜在的な可能性への扉が開かれます。 ブルートフォース攻撃, 悪意のある攻撃者が BitcoinJS ライブラリまたはその依存プロジェクトで生成されたウォレットの秘密鍵を回復できるようにする. 3 月より前に作成されたウォレット 2012 特に影響を受けやすい, ユーザーが自分の資産のセキュリティを評価することが緊急であることを強調する.
この発見は、ソフトウェア インフラストラクチャを強化するオープンソースの依存関係を精査することの極めて重要性を強調しています。. 基本ライブラリの脆弱性, 最近の Apache Log4j のケースで実証されたように 2021, 広範囲にわたる影響を与える可能性がある, 重大なサプライチェーンリスクを引き起こす. このソフトウェアで作成されたウォレットの欠陥は、更新されたソフトウェアで作成された新しいウォレットに資金が転送されない限り存続することは注目に値します。, ユーザーが警戒を怠らず、デジタル資産を保護するために積極的な措置を講じる必要性を強調.