Libbitcoin Explorer 3.x -kirjaston haavoittuvuus on johtanut yli 900,000 XNUMX dollarin varastamiseen Bitcoin-käyttäjiltä.
Blockchain-tietoturvayritys SlowMist ilmoitti ongelmasta.
Se voi vaikuttaa myös muiden digitaalisten valuuttojen, kuten Ethereumin (ETH), Ripplen (XRP), Dogecoinin (DOGE), Solanan (SOL), Litecoinin (LTC), Bitcoin Cash (BCH) ja Zcash, käyttäjiin, jotka käyttävät Libbitcoinia tilien luomiseen.
Libbitcoin on Bitcoin-lompakko-toteutus, jota käyttävät monet sovellukset, mukaan lukien Airbitz, Bitprim, Blockchain Commons ja Cancoin. SlowMist ei täsmentänyt, mihin sovelluksiin haavoittuvuus vaikuttaa.
Haavoittuvuuden, joka tunnetaan nimellä "Milk Sad", havaitsi ensin kyberturvallisuustiimi "Ditrust", ja se ilmoitti CEV:n kyberturvallisuushaavoittuvuuksien tietokantaan 7. elokuuta. Se sisältää viallisen avainten luontimekanismin Libbitcoin Explorerissa, jonka avulla hyökkääjät voivat arvaa yksityisiä avaimia.
Hyökkääjät käyttivät tätä haavoittuvuutta hyväkseen varastaakseen yli 900,000 278,318 dollarin arvosta kryptoa, mukaan lukien yksi hyökkäys, joka vei pois yli XNUMX XNUMX dollaria
SlowMist väittää "estäneensä" osoitteen, mikä tarkoittaa, että he ovat ottaneet yhteyttä pörssiin estääkseen hyökkääjää lunastamasta varoja. He myös valvovat osoitetta, jos varoja siirretään muualle.
Distrust-tiimi ja kahdeksan freelance-tietoturvakonsulttia ovat perustaneet haavoittuvuutta kertovan tiedottavan verkkosivuston. He ovat havainneet, että haavoittuvuus ilmenee, kun käyttäjät luovat lompakon siemen "bx seed" -komennolla, josta puuttuu riittävä satunnaisuus ja joka voi tuottaa saman siemenen useille käyttäjille.
Haavoittuvuus havaittiin, kun Libbitcoinin käyttäjä ilmoitti kadonneensa BTC:n 21. heinäkuuta. Lisää kaivamista osoitti, että muiden käyttäjien Bitcoinit varastettiin samalla tavalla.
Libbitcoin-instituutin jäsen Eric Voskuil totesi, että "bx seed" -komentoa ei ole tarkoitettu tuotantolompakoihin, ja siihen voidaan tehdä muutoksia, jotka vahvistavat varoitusta sen käytöstä tai poistavat komennon kokonaan.
Lompakon haavoittuvuudet ovat edelleen ongelma kryptonkäyttäjille vuonna 2023, ja yli 100 miljoonaa dollaria menetettiin Atomic Walletin hakkeroinnin seurauksena kesäkuussa. CER:n heinäkuussa julkaisemien lompakkoturvallisuusluokkien mukaan vain kuusi 45 lompakkobrändistä käyttää penetraatiotestausta haavoittuvuuksien löytämiseksi.
Lähde: https://crypto.news/libbitcoin-vulnerability-leads-to-900k-theft-from-bitcoin-wallets/