在本週二(8)發布的長文中,一群開發者警告說,自2014 年以來,比特幣錢包中發現了一個重大安全缺陷。簡而言之,錢包的生成熵較低,允許在3 日之前獲取資金。
這種生成方法被稱為“bx 種子”,非常著名,以至於它已經在《掌握比特幣》一書中出現,該書被認為是加密貨幣第二重要的文檔,僅次於中本聰本人撰寫的白皮書。
此外,開發人員指出,該缺陷還影響其他加密的錢包,包括以太坊等巨頭。
“受害者發現他們的比特幣投資並不是唯一被盜的。 攻擊者還從同一個錢包中拿走了以太坊和其他加密貨幣。”
此次攻擊還與今年4 月披露的Trust錢包漏洞有關。當天,170,000 美元(830,000 雷亞爾)被盜,但金額可能更大。根據新數據,盜竊案價值達90 萬美元(440 萬雷亞爾),並且可能還會繼續。
同樣是在當年4 月,Livecoins 報導稱,幾位經驗豐富的加密貨幣用戶的資金被盜。當時,一名開發人員聲稱,盜竊事件之間的唯一聯繫是錢包的生成日期,即2014 年至2022 年之間,這符合這種模式。超過5,000 枚ETH 被盜,相當於4560 萬雷亞爾。
比特幣錢包漏洞報告倉促發布
引起如此大驚小怪的主要原因是攻擊已經在進行中。因此,團隊選擇不與其他開發者聯合行動,而是立即披露錢包的漏洞。儘管這些信息也到達了黑客手中,但他們中的許多人已經意識到了這個漏洞。
“如果我們想給受影響的用戶一個收回資金的機會,我們就必須在幾天而不是幾個月內發布。 在這種情況下,時間站在攻擊者一邊,而不是受害者一邊。”
據該團隊稱,甚至在其發布之前,就已經有關於比特幣(BTC)、以太坊(ETH)、瑞波幣(XRP)、狗狗幣(DOGE)、索拉納(SOL)、萊特幣( LTC)、比特幣現金(BCH)被盜的報導。 )和Zcash (ZEC)。 “很可能涉及更多類型的貨幣,”文本補充道。
Milk Sad:比特幣錢包缺陷令社區擔憂
簡而言之,開發人員指出,該缺陷與生成比特幣錢包的著名舊方法中的低熵水平有關。也就是說,第二個人可以輕鬆獲得相同的私鑰或種子短語,因為生成它們的隨機性幾乎為零。
“在這兩種情況下創建錢包所涉及的關鍵工具是Libbitcoin Explorer 3.x 版本,通過其’bx’二進製文件,”該團隊評論說。 “Libbitcoin項目已經存在很長時間了(2011 年),它是開源的,’bx’ 擁有在獨立二進製文件中生成離線錢包所需的一切。”
正是出於這個原因,選擇了該漏洞的名稱“Milk Sad”。當在兩個不同的環境中創建兩個錢包時,團隊發現了相同的種子短語,以“牛奶悲傷工資杯……”開頭,即使有24 個單詞,集合也是相同的,沒有提供任何安全性。
“就保護數字貨幣包而言,這是一個相當災難性的情況。”
帶有悲傷表情符號的牛奶盒,代表漏洞名稱“Milk Sad”。來源:複製。
接下來,文本指向Reddit 上的一個線程。 7 月24 日,一名用戶指出“1000 多個比特幣錢包被大規模盜竊”。在冗長的解釋中,受害者表示他擁有最好的安全措施,也就是說,他沒有犯任何錯誤。
“這次提款影響了一筆交易中超過1,200 個地址的事實讓我認為這是某種有計劃的事件,這可能是某些庫中的漏洞,甚至是攻擊者使用的後門造成的。進行這次盜竊。”
大規模比特幣搶劫中涉及1,207 個入口地址的交易。黑客從幾名受害者手中竊取了近15 比特幣(218 萬雷亞爾),金額不大。資料來源:Blockchair。
開發者聲稱,上面的用戶和其他人一樣,也是Milk Sad 的受害者之一。
此外,他們還報告說,他們在報告發布之前向聯邦調查局披露了他們的調查結果。原因之一是交易所可能進行合作,開始監控易受攻擊地址的交易流,然後凍結餘額。
缺陷的大小
儘管他們沒有透露具體數字,但該團隊指出,至少有2,600 個比特幣地址被暴露。此外,其他使用這種方法生成地址的錢包也受到了影響。
另一個值得注意的點是,許多人傾向於將錢包從一種軟件導入到另一種軟件中,即使是不同的加密貨幣,這可能會大大增加受害者和被盜資金的數量。
根據文本,該故障可能仍然存在於2014 年發布的1.x 版本中,當時稱為“sx”。版本2.0.0 到2.1.0(2014 – 2015)也是如此。然而,該漏洞僅在2017 年推出的3.0.0 至3.6.0 版本中得到確認。
“在我們簡短而忙碌的披露中,我們重點關注2017 年3 月後發布的bx 版本中與Mersenne Twister 相關的問題。”
在披露之前,當多次聯繫Libbitcoin 時,該團隊只會回复(兩次)他們不相信這一發現是一個錯誤。
如何知道你的比特幣和其他加密貨幣是否面臨風險?
這種錢包生成方法很出名,並且已經在Andreas Antonopoulos 撰寫的《Mastering Bitcoin》一書中介紹過。因此,它可能被很多人使用,尤其是科技和比特幣的忠實粉絲。
“第4 章和附錄均未包含’bx 種子’不產生安全隨機數的免責聲明。 這些示例並沒有警告用戶以這種方式創建的錢包是不安全的。”
掌握比特幣,關於BTC的著名書籍,教授如何使用包含嚴重安全漏洞的方法創建錢包。來源:回放。
無論如何,開發人員指出,受影響的用戶是那些“使用bx 3.0.0 或更高版本(大約2017 年3 月之後)創建錢包”或“使用CLI 工具但不記得是哪個工具”的用戶。
包含更多技術信息的完整文本可以在發現該缺陷的團隊創建的網站上找到。總共有13 人被列為該工作的合作者。
資訊來源:由0x資訊編譯自LIVECOINS。版權歸作者所有,未經許可,不得轉載