Trang chủ / Tin tức 24h / Lỗ hổng ví Bitcoin mới được phát hiện cho phép hacker đánh cắp 900 nghìn USD — SlowMist

Lỗ hổng ví Bitcoin mới được phát hiện cho phép hacker đánh cắp 900 nghìn USD — SlowMist

admin - 11 Th8, 2023

Một loạt các cuộc tấn công đã rút cạn ví của người dùng BTC bằng cách khai thác thuật toán tạo hạt giống ngẫu nhiên bị lỗi.

Theo một báo cáo từ công ty bảo mật blockchain SlowMist, một lỗ hổng mới được phát hiện trong thư viện Libbitcoin Explorer 3.x đã cho phép hơn 900.000 USD bị đánh cắp từ người dùng Bitcoin. Lỗ hổng cũng có thể ảnh hưởng đến người dùng Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash và Zcash, những người sử dụng Libbitcoin để tạo tài khoản.

Libbitcoin là một triển khai ví Bitcoin mà các nhà phát triển và người xác thực đôi khi sử dụng để tạo Bitcoin và các tài khoản tiền điện tử khác. Theo trang web chính thức của nó, nó được sử dụng bởi “Airbitz (ví di động), Bitprim (giao diện dành cho nhà phát triển), Blockchain Commons (nhận dạng ví phi tập trung), Cancoin (trao đổi phi tập trung)” và các ứng dụng khác. SlowMist không chỉ định ứng dụng nào sử dụng Libbitcoin, nếu có, bị ảnh hưởng bởi lỗ hổng bảo mật.

SlowMist đã xác định nhóm an ninh mạng “Distrust” là nhóm ban đầu đã phát hiện ra lỗ hổng, được gọi là lỗ hổng “Milk Sad”. Nó đã được báo cáo cho cơ sở dữ liệu lỗ hổng an ninh mạng CEV vào ngày 7 tháng 8.

Theo bài đăng, Libbitcoin Explorer có cơ chế tạo khóa bị lỗi, cho phép những kẻ tấn công đoán khóa riêng tư. Do đó, những kẻ tấn công đã khai thác lỗ hổng này để đánh cắp số tiền điện tử trị giá hơn 900.000 USD kể từ ngày 10 tháng 8.

SlowMist nhấn mạnh rằng một cuộc tấn công cụ thể đã bòn rút hơn 9,7441 BTC (khoảng $278,318). Công ty tuyên bố đã “chặn” địa chỉ, ngụ ý rằng nhóm đã liên hệ với các sàn giao dịch để ngăn kẻ tấn công rút tiền. Nhóm cũng tuyên bố rằng họ sẽ theo dõi địa chỉ trong trường hợp tiền được chuyển đi nơi khác.

Bốn thành viên của nhóm Distrust, cùng với tám chuyên gia tư vấn bảo mật tự do tuyên bố đã giúp phát hiện ra lỗ hổng bảo mật, đã thiết lập một trang web thông tin giải thích về lỗ hổng bảo mật. Họ giải thích rằng lỗ hổng được tạo ra khi người dùng sử dụng lệnh “bx seed” để tạo ví seed. Lệnh này “sử dụng trình tạo số giả ngẫu nhiên Mersenne Twister (PRNG) được khởi tạo với 32 bit thời gian hệ thống,” thiếu tính ngẫu nhiên và do đó đôi khi tạo ra cùng một hạt giống cho nhiều người.

Lệnh hạt giống Bx tạo ra cùng một hạt giống hai lần. Nguồn: Trang thông tin Milk Sad

Các nhà nghiên cứu tuyên bố đã phát hiện ra lỗ hổng khi họ được liên hệ bởi một người dùng Libbitcoin có BTC đã bị mất tích một cách bí ẩn vào ngày 21 tháng 7. Khi người dùng này liên hệ với những người dùng Libbitcoin khác để cố gắng xác định xem BTC có thể đã bị mất tích như thế nào, người này đã tìm thấy rằng những người dùng khác cũng đang bị bòn rút BTC.

Cointelegraph đã liên hệ với thành viên Viện Libbitcoin Eric Voskuil để nhận xét. Đáp lại, Voskuil tuyên bố rằng lệnh hạt giống bx “được cung cấp để thuận tiện khi công cụ được sử dụng để thể hiện hành vi yêu cầu entropy” và không nhằm mục đích sử dụng trong ví sản xuất. Voskuil tuyên bố: “Nếu mọi người thực sự sử dụng nó để gieo hạt quan trọng (chứ không phải để tung xúc xắc chẳng hạn) thì cảnh báo là không đủ”. Trong trường hợp đó, “Chúng tôi có thể sẽ thực hiện một số thay đổi trong vòng vài ngày tới để tăng cường cảnh báo đối với việc sử dụng sản xuất hoặc xóa lệnh hoàn toàn.”

Các lỗ hổng của ví tiếp tục gây ra vấn đề cho người dùng tiền điện tử vào năm 2023. Hơn 100 triệu USD đã bị mất trong một vụ hack Ví nguyên tử vào tháng 6, điều này đã được nhóm ứng dụng thừa nhận vào ngày 22 tháng 6. Nền tảng chứng nhận an ninh mạng CER đã công bố bảng xếp hạng bảo mật ví của mình vào tháng 7 , lưu ý rằng chỉ có sáu trong số 45 thương hiệu ví sử dụng thử nghiệm thâm nhập để khám phá các lỗ hổng.

Cùng chuyên mục

Tìm kiếm: