Laut einem Bericht des Blockchain-Sicherheitsunternehmens SlowMist hat eine neu entdeckte Schwachstelle in der Libbitcoin Explorer 3.x-Bibliothek dazu geführt, dass mehr als 900.000 US-Dollar von Bitcoin-Benutzern gestohlen wurden. Die Sicherheitslücke kann auch Benutzer von Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash und Zcash betreffen, die Libbitcoin zum Erstellen von Konten verwenden.
SlowMist-Sicherheitswarnung
Kürzlich, #Misstrauen entdeckte eine schwerwiegende Sicherheitslücke bei Kryptowährungs-Wallets, die das verwenden #Libbitcoin Explorer 3.x-Versionen. Diese Schwachstelle ermöglicht es Angreifern, auf private Wallet-Schlüssel zuzugreifen, indem sie die pseudozufällige Funktion Mersenne Twister ausnutzen.
— SlowMist (@SlowMist_Team) 10. August 2023
Libbitcoin ist eine Bitcoin-Wallet-Implementierung, die Entwickler und Prüfer manchmal verwenden, um Bitcoin (BTC) und andere Kryptowährungskonten zu erstellen. Laut der offiziellen Website wird es von „Airbitz (mobile Geldbörse), Bitprim (Entwicklerschnittstelle), Blockchain Commons (dezentrale Geldbörsenidentität), Cancoin (dezentrale Börse)“ und anderen Anwendungen verwendet. SlowMist hat nicht angegeben, welche Anwendungen, die Libbitcoin verwenden, gegebenenfalls von der Sicherheitslücke betroffen sind.
Cointelegraph wandte sich per E-Mail an das Libbitcoin Institute, hatte zum Zeitpunkt der Veröffentlichung jedoch keinen Kommentar erhalten.
SlowMist identifizierte das Cybersicherheitsteam „Distrust“ als das Team, das ursprünglich die Lücke entdeckte, die als „Milk Sad“-Schwachstelle bezeichnet wird. Das war es auch gemeldet am 7. August in die CEV-Cybersicherheits-Schwachstellendatenbank aufgenommen.
Dem Beitrag zufolge verfügt der Libbitcoin Explorer über einen fehlerhaften Schlüsselgenerierungsmechanismus, der es Angreifern ermöglicht, private Schlüssel zu erraten. Infolgedessen nutzten Angreifer diese Schwachstelle aus, um bis zum 10. August Kryptowährungen im Wert von über 900.000 US-Dollar zu stehlen.
SlowMist betonte, dass insbesondere ein Angriff mehr als 9,7441 BTC (ca. 278.318 US-Dollar) abgezogen habe. Das Unternehmen behauptet, die Adresse „gesperrt“ zu haben, was bedeutet, dass das Team Börsen kontaktiert hat, um zu verhindern, dass der Angreifer die Gelder auszahlt. Das Team erklärte außerdem, dass es die Adresse überwachen werde, falls Gelder woanders hin verschoben werden.
Vier Mitglieder des Distrust-Teams haben zusammen mit acht freiberuflichen Sicherheitsberatern, die angeblich bei der Entdeckung der Schwachstelle geholfen haben, eine Informationswebsite eingerichtet erklären die Verletzlichkeit. Sie erklärten, dass die Lücke entsteht, wenn Benutzer den Befehl „bx Seed“ verwenden, um einen Wallet-Seed zu generieren. Dieser Befehl „verwendet den Pseudozufallszahlengenerator (PRNG) Mersenne Twister, der mit 32 Bit Systemzeit initialisiert wurde“, dem es an ausreichender Zufälligkeit mangelt und der daher manchmal den gleichen Startwert für mehrere Personen erzeugt.
Die Forscher behaupten, die Sicherheitslücke entdeckt zu haben, als sie von einem Libbitcoin-Benutzer kontaktiert wurden, dessen BTC am 21. Juli auf mysteriöse Weise verschwunden war. Als der Benutzer sich an andere Libbitcoin-Benutzer wandte, um herauszufinden, wie die BTC verschwunden sein könnten, wurde die Person gefunden dass auch anderen Benutzern ihre BTC abgezogen wurden.
Wallet-Schwachstellen stellen auch im Jahr 2023 ein Problem für Krypto-Benutzer dar. Bei einem Hack des Atomic Wallet im Juni gingen über 100 Millionen US-Dollar verloren, was das Team der App am 22. Juni bestätigte. Die Cybersicherheits-Zertifizierungsplattform CER veröffentlichte im Juli ihre Wallet-Sicherheitsrankings , wobei darauf hingewiesen wird, dass nur sechs von 45 Wallet-Marken Penetrationstests einsetzen, um Schwachstellen aufzudecken.