Desaparecimento de $ 900K coloca foco no projeto Bitcoin Vintage Libbitcoin

• A empresa de segurança da informação Distrust afirma que um total de pelo menos US$ 900.000 foi roubado em diversos blockchains.
• Hackers conseguiram explorar uma vulnerabilidade no explorador Libbitcoin, uma ferramenta de linha de comando de código aberto ou interface de texto usada por desenvolvedores de Bitcoin para produzir chaves criptográficas e se comunicar com o blockchain.

Em 2011, apenas dois anos após o lançamento do Bitcoin , o desenvolvedor anarquista britânico-iraniano Amir Taakia e um grupo de programadores de código aberto criaram uma alternativa ao Bitcoin CORE – a maneira original e ainda mais popular de se conectar à rede Bitcoin .

Esse software alternativo, denominado Libbitcoin, agora evoluiu para um conjunto abrangente de ferramentas – uma biblioteca – para funções críticas, como comunicação com o blockchain do Bitcoin e geração de chaves criptográficas.

Foi até mesmo apresentado no livro popular e indiscutivelmente canônico do educador de Bitcoin Andreas Antonopoulos Dominando Bitcoin.

Mas depois que cerca de US$ 900.000 desapareceram de várias carteiras de usuários nos últimos meses, o Libbitcoin, antes considerado seguro, revelou-se inseguro.

Veja como a última saga se desenrolou, de acordo com uma reportagem damilksad.info, que detalha as descobertas deDesconfiança, a empresa de segurança que descobriu a vulnerabilidade em julho, auxiliada por um grupo de Colaboradores independentes.

Em algum momento de maio, hackers começaram a roubar secretamente fundos de usuários desavisados após descobrir uma vulnerabilidade obscura em uma série de carteiras geradas pelo explorador Libbitcoin, chamadoBX.

A vulnerabilidade foi apelidada de “Milk Sad” porque “milk” e “sad” eramas duas primeiras palavrasem uma frase-semente de recuperação de carteira gerada pela vulnerabilidade, afirma o relatório.

O roubo mais significativo – 29,65 Bitcoin (BTC) no valor de cerca de US$ 870.000 nas taxas atuais – ocorreu em 12 de julho. A Distrust diz que um total de pelo menos US$ 900.000 foi roubado em vários blockchains, incluindo de algumas das cerca de 2.600 carteiras de Bitcoin afetadas pela vulnerabilidade.

Carteiras de hardware como Trezor e Ledger parecem ter saído ilesas, mas ainda há uma série de carteiras em risco, e a extensão total do dinheiro roubado "ainda não foi determinada".de acordo compara um tuíte de 8 de agosto de Anton Livaja, um membro da equipe Distrust.

O BX vem com um comando de texto chamado “bx seed” que usa o relógio no computador de um desenvolvedor para produzir uma frase semente para criar uma carteira.

O software de Cripto fornece combinações aleatórias de 12 a 24 palavras ou frases-semente para usuários que desejam “recuperar” ou recuperar o acesso às suas carteiras em caso de perda acidental.

Mas ao usar BX, a frase resultante acaba sendo insuficientemente aleatória. De acordo com o relatório, “um PC de jogo decente pode fazer uma busca de força bruta”, ou adivinhar todas as combinações de palavras possíveis para a frase semente de um usuário, “em menos de um dia”.

“Pense nisso como proteger sua conta bancária online com um gerenciador de senhas que cria uma senha longa e aleatória”, afirma o relatório. “Mas ele frequentemente cria as mesmas senhas para todos os usuários. Pessoas mal-intencionadas descobriram isso e drenaram fundos de qualquer conta que pudessem encontrar.”

Ethereum, Zcash, Solana, Dogecoin afetados

Milk Sad não está restrito ao Bitcoin. Ethereum, Zcash, Solana e até Dogecoin estão entre a lista de oito blockchains afetados. Vulnerabilidades semelhantes, mas não idênticas, foram detectadas em Carteira de CAKE e Carteira de confiança, ambos aplicativos de carteira multi-cadeia.

Normalmente, frases-semente são criadas usando um gerador capaz de produzir um conjunto ou “espaço-chave” com um número estonteante de combinações de palavras exclusivas representadas pelo expoente de um dígito binário ou “BIT” – essencialmente, o número dois elevado à potência de 128, 192 ou 256.

O BX tem um espaço de chave insignificante de 32 BIT que só pode render cerca de 4,3 bilhões de combinações de palavras únicas. “Não são tantas combinações quanto parece”, de acordo com o relatório.

Eric Voskuil, desenvolvedor líder do BX, admitiu que o gerador de sementes era de fato inseguro, mas insistiu que não havia bug no software, argumentando que o comando de texto bx seed havia sido mal utilizado. Ele tuitou uma captura de tela da documentação do aplicativo no GitHub que alerta os desenvolvedores sobre a vulnerabilidade.

“Este não é um bug no BX ou Libbitcoin”, Voskuiltweetou. “É um desenvolvimento imprudente da carteira.”

Vários criptógrafos na comunidade Bitcoin discordaram.

“O caso é cristalino,”tweetou Tim Ruffing, criptógrafo na empresa de infraestrutura de Bitcoin Blockstream. “É seu bug, ponto final.”