От
KL FC Bot
Исследователи обнаружили несколько уязвимостей в библиотеке BitcoinJS, из-за которых Bitcoin-кошельки, созданные с помощью онлайн-сервисов десятилетие назад, могут оказаться уязвимы к взлому. Суть найденных багов в том, что секретные ключи от этих криптокошельков генерировались с гораздо большей предсказуемостью, чем того ожидали разработчики библиотеки.
Уязвимости Randstorm и их последствия
Теперь обо всем по порядку. Исследователи из компании Unciphered, занимающейся восстановлением доступа к криптокошелькам, обнаружили и описали ряд уязвимостей в JavaScript-библиотеке BitcoinJS, которую использовали многие криптовалютные онлайн-сервисы. Среди этих сервисов есть и весьма популярные — в частности, Blockchain.info, ныне известный как Blockchain.com. Обнаруженный набор уязвимостей исследователи назвали Randstorm.
Несмотря на то что уязвимости в самой библиотеке BitcoinJS были устранены еще в 2014 году, проблема распространяется на результаты работы этой библиотеки: созданные с ее помощью в начале 2010-х годов криптокошельки могут быть небезопасны — в том смысле, что подобрать секретные ключи к ним куда проще, чем предполагает лежащая в основе Bitcoin криптография.
По оценкам исследователей, из-за Randstorm потенциально уязвимы несколько миллионов кошельков, в которых суммарно хранится около 1,4 миллиона биткойнов. Среди потенциально уязвимых, по оценке исследователей, действительно уязвимы для реальных атак 3–5% кошельков. Исходя из примерного курса биткойна в районе $36 500 на момент публикации поста, можно предположить суммарную добычу 1,5–2,5 миллиарда долларов для тех взломщиков, которые смогут разработать методику успешной эксплуатации Randstorm.
Исследователи утверждают, что уязвимости Randstorm на деле можно использовать для практической атаки на криптокошельки. Более того, они успешно воспользовались этими уязвимостями для восстановления доступа к нескольким криптокошелькам, созданным на сервисе Blockchain.info до марта 2012 года. Из этических соображений они не стали публиковать доказательство осуществимости атаки (proof-of-concept), поскольку это подвергло бы собственность десятков тысяч владельцев криптокошельков прямой угрозе кражи.
Исследователи уже связались с теми криптовалютными онлайн-сервисами, о которых известно, что они использовали уязвимые версии библиотеки BitcoinJS. В свою очередь, эти сервисы направили предупреждения тем своим клиентам, которые потенциально могут пострадать от Randstorm.
Посмотреть статью полностью
От Volchek
От Alex1
От KL FC Bot
От E.K.
Рекомендуемые сообщения