Libbitcoin Explorer 3.x の新しい脆弱性により、ビットコインユーザーから135億ルピア以上の盗難が発生しました。

ジャカルタ - Libbitcoin Explorer 3.xライブラリで発見された新しい脆弱性により、ブロックチェーンセキュリティ会社SlowMistのレポートによると、ビットコインユーザーから90万ドル以上が盗まれることができました。この脆弱性は、イーサリアム、リップル、ドージコイン、ソラナ、ライトコイン、ビットコインキャッシュ、ZcashユーザーがLibbitcoinを使用してアカウントを生成する場合にも影響します。

Libbitcoinは、開発者やバリデーターがビットコインやその他の暗号通貨のアカウントを作成するために使用することがあるビットコインウォレット実装です。公式ウェブサイトによると、「エアビッツ(モバイルウォレット)、ビットプレム(開発者インターフェイス)、ブロックチェーンコモンズ(分散型ウォレットアイデンティティ)、キャンコイン(分散型取引所)」およびその他のアプリケーションによって使用されています。SlowMistは、この脆弱性の影響を受けるLibbitcoinを使用しているアプリについては言及していません。

SlowMistは、この抜け穴を最初に発見したチームとして「Distrust」サイバーセキュリティチームを特定し、この脆弱性は「Milk Sad」と呼ばれています。この脆弱性に関するレポートは、8月7日にCEVサイバーセキュリティ脆弱性データベースに報告されました。

投稿によると、Libbitcoin Explorerには欠陥のあるキージェネレーションメカニズムがあり、攻撃者が秘密鍵を推測することができます。その結果、攻撃者はこの脆弱性を利用して、8月10日に90万ドル以上の暗号を盗みました。

SlowMistは、ある特別攻撃が9,7441BTC以上(約278,318米ドル)を盗むことに成功したことを強調しています。同社は住所を「ブロック」したと主張しており、これはチームが攻撃者が資金を支払うのを防ぐために取引所に連絡したことを意味します。チームはまた、資金が他の場所に移動された場合、住所を監視し続けると述べました。

Distrustチームの4人のメンバーと、この脆弱性の発見を支援したと主張する8人のフリーランスセキュリティコンサルタントは、その脆弱性を説明する有益なWebサイトを作成しました。彼らは、この抜け穴は、ユーザーが「bx種子」コマンドを使用して種子ウォレットを作成したときに発生すると説明しました。

このコマンドは「32ビットのシステムタイムで初期化された偽のランダム番号ジェネレータMersene Twisterを使用」しており、適切なランダム性を欠き、時には複数の人で同じ種を生成します。

研究者たちは、7月21日にBTCが不思議なことに姿を消したLibbitcoinユーザーから連絡を受けたときに、この脆弱性を見つけたと主張しています。ユーザーが別のLibbitcoinユーザーに連絡して、BTCがどのように失われたかを調べようとしたとき、その人は別のユーザーもBTC盗難を経験したことを発見しました。

コインテレグラフは、リビットコイン研究所のメンバーであるエリック・ゴックイルにコメントを求めた。これに対して、ゴックイルは、「bx種子」コマンドは、ツールを使用してゴックを必要とする動作を実証する場合に便利として提供され、生産ウォレットで使用することを意図していないと述べました。

「人々が実際に生産キー保育園に(例えば樹脂を曲げることに反して)それを使用する場合、警告は十分ではありません」とZuskuilは言いました。「この場合、生産の使用に関する警告を強化するか、注文を完全に削除するために、今後数日でいくつかの変更を行う可能性が最も高いです。

ウォレットの脆弱性は、2023年も暗号ユーザーにとって引き続き問題です。6月22日にアプリチームによって承認された6月のAcomic Walletハッキングで、1億ドル以上が失われました。サイバーセキュリティ認証プラットフォームCERは7月にウォレットのセキュリティ評価を発表し、侵入テストを使用して脆弱性を見つけたウォレットブランドは45のうち6つだけであると述べました。