In een recent rapport, Cybersecurity-experts bij Unciphered hebben een nieuwe exploit blootgelegd genaamd Randstorm, wat een bedreiging vormt voor Bitcoin-portefeuilles die tussen zijn gemaakt 2011 en 2015. Deze exploit maakt het mogelijk om wachtwoorden te herstellen, wat leidt tot ongeautoriseerde toegang tot een aanzienlijk aantal portemonnees op verschillende blockchain-platforms.
Een kijkje in de Randstorm-exploit
Randstorm wordt door Unciphered beschreven als een term die is bedacht om een combinatie van bugs weer te geven, ontwerpbeslissingen, en API verandert dat, bij interactie, de kwaliteit van willekeurige getallen die door webbrowsers in het opgegeven tijdperk worden geproduceerd, aanzienlijk verminderen (2011-2015). De kwetsbaarheid zal naar schatting ongeveer impact hebben 1.4 miljoen bitcoins opgeslagen in portefeuilles die zijn gegenereerd met potentieel zwakke cryptografische sleutels. Bezorgde gebruikers kunnen de kwetsbaarheid van hun portemonnee controleren op www.keybleed[.]met.
Het ontstaan van deze kwetsbaarheid werd in januari herontdekt door het cryptocurrency-herstelbedrijf 2022 terwijl hij een niet bij naam genoemde klant hielp die werd buitengesloten van zijn Blockchain.com-portemonnee. Hoewel aanvankelijk gemarkeerd door een beveiligingsonderzoeker “ketamine” in 2018, de kwestie kwam weer naar boven, wat licht werpt op de blijvende risico’s die verbonden zijn aan vroege Bitcoin-portefeuilles.
BitcoinJS vormt de kern van het probleem
De kwetsbaarheid is terug te voeren op het gebruik van BitcoinJS, een open-source JavaScript-pakket dat wordt gebruikt voor het ontwikkelen van browsergebaseerde cryptocurrency-portemonnee-applicaties. Randstorm maakt specifiek misbruik van de afhankelijkheid van het pakket van SecureRandom() functie in de JSBN javascript-bibliotheek, gekoppeld aan cryptografische zwakheden in de webbrowsers’ implementatie van de Math.random() functie die heerst tijdens de 2011-2015 periode. Opmerkelijk, BitcoinJS-beheerders stopten in maart met het gebruik van JSBN 2014.
Het gebrek aan voldoende entropie als gevolg van deze kwetsbaarheden opent de deur naar potentieel aanvallen met brute kracht, waardoor kwaadwillende actoren de privésleutels van portemonnees kunnen herstellen die zijn gegenereerd met de BitcoinJS-bibliotheek of de daarvan afhankelijke projecten. Portefeuilles die vóór maart zijn gemaakt 2012 zijn bijzonder gevoelig, het benadrukken van de urgentie voor gebruikers om de veiligheid van hun activa te beoordelen.
Deze ontdekking onderstreept het cruciale belang van het onderzoeken van open source-afhankelijkheden die de software-infrastructuur aandrijven. Kwetsbaarheden in fundamentele bibliotheken, zoals onlangs aangetoond in het geval van Apache Log4j 2021, kan verstrekkende gevolgen hebben, die aanzienlijke risico's voor de toeleveringsketen met zich meebrengen. Het is vermeldenswaard dat de fout in portefeuilles die met deze software zijn gemaakt, blijft bestaan, tenzij het geld wordt overgemaakt naar een nieuwe portemonnee die is gemaakt met bijgewerkte software, waarbij de nadruk wordt gelegd op de noodzaak voor gebruikers om waakzaam te blijven en proactieve stappen te ondernemen om hun digitale activa te beveiligen.