Ang pagkawala ng $900K ay Nakatuon sa Vintage Bitcoin Project Libbitcoin

• Sinabi ng kumpanya ng seguridad ng impormasyon na Distrust na isang kabuuang hindi bababa sa $900,000 ang ninakaw sa maraming blockchain.
• Nagawa ng mga hacker na samantalahin ang isang kahinaan sa Libbitcoin explorer, isang open-source command line tool o text interface na ginagamit ng mga developer ng Bitcoin upang makagawa ng mga cryptographic key at makipag-ugnayan sa blockchain.

Noong 2011, dalawang taon lamang pagkatapos ilunsad ang Bitcoin , ang developer ng British-Iranian anarchist na si Amir Taakia at isang grupo ng mga open-source coder ay lumikha ng alternatibo sa Bitcoin CORE – ang orihinal at pinakasikat pa rin na paraan ng pagkonekta sa network ng Bitcoin .

Ang alternatibong piraso ng software na iyon, na may tatak na Libbitcoin, ay umunlad na ngayon sa isang komprehensibong hanay ng mga tool - isang library - para sa mga kritikal na function tulad ng pakikipag-ugnayan sa Bitcoin blockchain at pagbuo ng mga cryptographic key.

Itinampok pa ito sa sikat at masasabing canonical na libro ng Bitcoin educator na si Andreas Antonopoulos Mastering Bitcoin.

Ngunit pagkatapos ng humigit-kumulang $900,000 na nawala mula sa iba't ibang mga wallet ng user sa nakalipas na ilang buwan, ang Libbitcoin, na minsang ipinapalagay na ligtas, ay naging hindi ligtas.

Narito kung paano nabuksan ang pinakabagong saga, ayon sa isang ulat sa milksad.info, na nagdedetalye ng mga natuklasan ng Kawalan ng tiwala, ang security firm na nakatuklas ng kahinaan noong Hulyo, na tinulungan ng isang grupo ng mga independiyenteng Contributors.

Sa ilang mga punto noong Mayo, nagsimulang lihim na magnakaw ng mga pondo ang mga hacker mula sa mga hindi mapag-aalinlanganang user matapos na matuklasan ang isang hindi malinaw na kahinaan sa isang bilang ng mga wallet na nabuo ng Libbitcoin explorer, na tinatawag na BX.

Ang kahinaan ay tinawag na "Milk Sad" dahil ang "gatas" at "malungkot" ay ang unang dalawang salita sa isang wallet-recovery seed phrase na nabuo ng vulnerability, sabi ng ulat.

Ang pinaka makabuluhang heist – 29.65 Bitcoin (BTC) na nagkakahalaga ng humigit-kumulang $870,000 sa kasalukuyang mga rate – naganap noong Hulyo 12. Sinasabi ng kawalan ng tiwala na isang kabuuang hindi bababa sa $900,000 ang ninakaw sa maraming blockchain, kabilang ang mula sa ilan sa humigit-kumulang 2,600 Bitcoin wallet na apektado ng kahinaan.

Ang mga wallet ng hardware tulad ng Trezor at Ledger ay mukhang hindi nasaktan, ngunit mayroon pa ring ilang mga wallet na nasa panganib, at ang buong lawak ng pera na ninakaw ay "hindi pa matukoy," ayon sa isang tweet noong Agosto 8 ni Anton Livaja, isang miyembro ng Distrust team.

Ang BX ay may kasamang text command na tinatawag na "bx seed" na gumagamit ng orasan sa computer ng developer para makagawa ng seed phrase para sa paggawa ng wallet.

Ang Crypto software ay nagbibigay ng mga random na kumbinasyon ng 12 hanggang 24 na salita o mga seed na parirala sa mga user na gustong “makabawi” o mabawi ang access sa kanilang mga wallet sa kaso ng aksidenteng pagkawala.

Ngunit kapag gumagamit ng BX, ang resultang parirala ay lumalabas na hindi sapat na random. Ayon sa ulat, "ang isang disenteng gaming PC ay maaaring gumawa ng isang brute-force na paghahanap," o hulaan ang lahat ng posibleng kumbinasyon ng salita para sa seed phrase ng isang user, "sa mas mababa sa isang araw."

"Isipin mo ito bilang pag-secure ng iyong online na bank account gamit ang isang tagapamahala ng password na lumilikha ng isang mahabang random na password," ang sabi ng ulat. "Ngunit madalas itong gumagawa ng parehong mga password para sa bawat user. Naisip ito ng mga nakakahamak na tao at naubos ang mga pondo sa anumang account na mahahanap nila."

Ethereum, Zcash, Solana, Dogecoin apektado

Ang Milk Sad ay hindi limitado sa Bitcoin. Ang Ethereum, Zcash, Solana at maging ang Dogecoin ay kabilang sa listahan ng walong blockchain na apektado. Ang mga katulad ngunit hindi magkatulad na mga kahinaan ay nakita sa CAKE Wallet at Trust Wallet, parehong multi-chain wallet app.

Karaniwan, ang mga seed na parirala ay nilikha gamit ang isang generator na may kakayahang gumawa ng isang set o "key space" na may nakakahilo na bilang ng mga natatanging kumbinasyon ng salita na kinakatawan ng exponent ng isang binary digit o "BIT" - mahalagang, ang numerong dalawa ay itinaas sa kapangyarihan ng 128, 192 o 256.

Ang BX ay may maliit na 32- BIT na key space na maaari lamang magbunga ng humigit-kumulang 4.3 bilyong natatanging kumbinasyon ng salita. "Iyan ay hindi kasing dami ng mga kumbinasyon gaya ng tunog," ayon sa ulat.

Si Eric Voskuil, ang nangungunang developer ng BX, ay inamin na ang seed generator ay talagang hindi secure, ngunit iginiit na walang bug sa software, na nangangatwiran na ang bx seed text command ay nagamit sa maling paraan. Nag-tweet siya ng screenshot ng dokumentasyon ng GitHub ng application na nagbabala sa mga developer ng kahinaan.

"Ito ay hindi isang bug sa BX o Libbitcoin," Voskuil nagtweet. "Ito ay walang ingat na pag-unlad ng wallet."

Ilang cryptographer sa komunidad ng Bitcoin ang nakiusap na mag-iba.

"Ang kaso ay napakalinaw," nagtweet Tim Ruffing, cryptographer sa Bitcoin infrastructure firm na Blockstream. "Ang bug mo, period."