La scomparsa di 900.000 $ mette l'accento sul progetto Bitcoin d'epoca Libbitcoin

• Secondo la società di sicurezza informatica Distrust, in totale sono stati rubati almeno 900.000 dollari su più blockchain.
• Gli hacker sono riusciti a sfruttare una vulnerabilità nell'explorer Libbitcoin, uno strumento da riga di comando open source o un'interfaccia di testo utilizzata dagli sviluppatori Bitcoin per produrre chiavi crittografiche e comunicare con la blockchain.

Nel 2011, appena due anni dopo il lancio Bitcoin , lo sviluppatore anarchico britannico-iraniano Amir Taakia e un gruppo di programmatori open source hanno creato un'alternativa a Bitcoin CORE , il modo originale e ancora il più popolare per connettersi alla rete Bitcoin .

Quel software alternativo, denominato Libbitcoin, si è ora evoluto in una suite completa di strumenti, una libreria, per funzioni critiche come la comunicazione con la blockchain Bitcoin e la generazione di chiavi crittografiche.

È stato persino menzionato nel popolare e probabilmente canonico libro dell'educatore Bitcoin Andreas Antonopoulos Padroneggiare Bitcoin.

Ma dopo che circa 900.000 dollari sono scomparsi dai portafogli di vari utenti nel corso degli ultimi mesi, Libbitcoin, una volta ritenuto sicuro, si è rivelato non sicuro.

Ecco come si è svolta l’ultima saga, secondo un rapporto sumilksad.info, che descrive in dettaglio i risultati diDiffidenza, l'azienda di sicurezza che ha scoperto la vulnerabilità a luglio, assistita da un gruppo di Collaboratori indipendenti.

Ad un certo punto di maggio, gli hacker hanno iniziato a rubare segretamente fondi a utenti ignari dopo aver scoperto un'oscura vulnerabilità in un certo numero di portafogli generati dall'explorer Libbitcoin, chiamatoBxB.

La vulnerabilità è stata soprannominata “Milk Sad” perché “latte” e “triste” eranole prime due parolein una frase seme di recupero del portafoglio generata dalla vulnerabilità, afferma il rapporto.

La rapina più significativa – 29,65 Bitcoin (BTC) del valore di circa $ 870.000 ai tassi attuali – è avvenuto il 12 luglio. Distrust afferma che un totale di almeno $ 900.000 è stato rubato su più blockchain, compresi alcuni dei circa 2.600 portafogli Bitcoin interessati dalla vulnerabilità.

I portafogli hardware come Trezor e Ledger sembrano essere rimasti indenni, ma ci sono ancora diversi portafogli a rischio e l'entità esatta del denaro rubato "deve ancora essere determinata".secondoa un tweet dell'8 agosto di Anton Livaja, membro del team Distrust.

BX è dotato di un comando di testo chiamato "bx seed" che utilizza l'orologio sul computer di uno sviluppatore per produrre una frase seed per la creazione di un portafoglio.

Il software Cripto fornisce combinazioni casuali di 12-24 parole o frasi iniziali agli utenti che desiderano "recuperare" o riottenere l'accesso ai propri portafogli in caso di perdita accidentale.

Ma quando si usa BX, la frase risultante risulta non sufficientemente casuale. Secondo il rapporto, "un PC da gioco decente può fare una ricerca brute-force", o indovinare tutte le possibili combinazioni di parole per la frase seed di un utente, "in meno di un giorno".

"Pensa a questo come a proteggere il tuo conto bancario online con un gestore di password che crea una lunga password casuale", afferma il rapporto. "Ma spesso crea le stesse password per ogni utente. I malintenzionati hanno capito questo e hanno prosciugato i fondi su qualsiasi conto che hanno trovato".

Ethereum, Zcash, Solana, Dogecoin interessati

Milk Sad non è limitato a Bitcoin. Ethereum, Zcash, Solana e persino Dogecoin sono tra le otto blockchain interessate. Sono state rilevate vulnerabilità simili ma non identiche in Portafoglio CAKE E Portafoglio di fiducia, entrambe app di portafoglio multi-catena.

In genere, le frasi seme vengono create utilizzando un generatore in grado di produrre un set o "spazio chiave" con un numero vertiginoso di combinazioni di parole uniche rappresentate dall'esponente di una cifra binaria o "BIT", essenzialmente il numero due elevato alla potenza di 128, 192 o 256.

BX ha un misero spazio chiave di 32 BIT che può produrre solo circa 4,3 miliardi di combinazioni di parole uniche. "Non sono così tante combinazioni come sembrano", secondo il rapporto.

Eric Voskuil, sviluppatore principale di BX, ha ammesso che il generatore di seed era effettivamente insicuro, ma ha insistito sul fatto che non c'era alcun bug nel software, sostenendo che il comando bx seed text era stato utilizzato in modo improprio. Ha twittato uno screenshot della documentazione GitHub dell'applicazione che avvisa gli sviluppatori della vulnerabilità.

"Questo non è un bug in BX o Libbitcoin", ha detto Voskuiltwittato"Si tratta di uno sviluppo sconsiderato del portafoglio."

Diversi crittografi nella comunità Bitcoin hanno espresso pareri divergenti.

“Il caso è chiarissimo”,twittato Tim Ruffing, crittografo presso la società di infrastrutture Bitcoin Blockstream. "È il tuo bug, punto."