2011 ile 2015 yılları arasında oluşturulan kripto para cüzdanları, tehdit aktörlerinin fonlara erişim için şifreleri kurtarmak amacıyla kaba kuvvet yöntemleri kullanmasına olanak tanıyan bir saldırıya karşı savunmasızdır. Araştırmacılar Şifrelenmemiş tahminler, içlerinde potansiyel olarak yüz milyonlarca dolar bulunan milyonlarca cüzdanın saldırılara karşı savunmasız kaldığını gösteriyor.
Sorun, Web ve NodeJS platformları için Bitcoin ve diğer kripto para birimi uygulamalarını oluşturmaya yönelik bir JavaScript kitaplığı olan BitcoinJS’de artık kullanılmayan bir rastgeleleştirme işleviyle ilgilidir.
BrainWallet, CoinPunk ve QuickCoin dahil olmak üzere, savunmasız BitcoinJS kütüphanesini kullanan projelerin birçoğu artık ortalıkta yok. Ancak Blockchain.com, Bitgo, Dogechain.info ve Blocktrail gibi diğer birkaçı hala aktif.
“Randstorm” Güvenlik Açığı
BitcoinJS’deki açık kaynak koduna dayanan güvenlik açığı işlevi, o dönemde büyük tarayıcılardaki sözde rastgele sayı üreteçlerinde var olan bir zayıflıkla birleştiğinde, tahmin saldırılarına dayanacak kadar rastgele olmayan kripto cüzdanları için anahtarların üretilmesine neden oldu. .
Bireylerin ve kuruluşların erişime kapatılmış oldukları kripto para birimi cüzdanlarını kurtarmalarına yardımcı olan bir girişim olan Unciphered’deki araştırmacılar, sorunu Ocak 2022’de böyle bir müşteriye yardım ederken keşfettiler. Bu kişi, Bitcoin cüzdanına erişimini yeniden sağlamaya çalışmak için Unciphered’i işe almıştı. 2014 yılında Blockchain.info (şimdiki adı Blockchain.com) üzerinde oluşturmuştu ancak şifresini kaybetmişti.
Unciphered’ın şifreyi kurtarma çabası başarısız oldu. Ancak onu geri almanın bir yolunu bulma sürecinde şirketteki araştırmacılar, o zamandan beri “Randstorm” adını verdikleri BitcoinJS güvenlik açığını keşfettiler. Keşiften bu yana geçen 22 ay içinde araştırmacılar, etkilenen kullanıcıları tehdit hakkında bilgilendirmek için Blockchain.com ve savunmasız BitcoinJS işlevini içeren diğer şirketlerle çalışıyor.
Unciphered, “Birden fazla kuruluşla açıklamayı koordine ediyoruz ve bunun sonucunda milyonlarca kullanıcı uyarıldı.” dedi. bu haftaki blog yazısı. Şirket, “Bir kişinin etkilenen bir cüzdanda varlık bulundurmasının mümkün olması durumunda, bunların güvenilir yazılımla oluşturulan yeni oluşturulan bir cüzdana taşınması gerekir” dedi.
Kripto Cüzdan Hatası Daha Önce Bilinen Bir Sorundur
Unciphered’e göre şirket, BitcoinJS’de bu hafta bildirdiği kusuru ortaya çıkaran ilk şirket değil. 2018 yılında “ketamin” tanıtıcısını kullanan bir güvenlik araştırmacısı şunu bildirmişti: birden fazla güvenlik açığı bulma SecureRandom()’da, BitcoinJS’deki sorunun kökenindeki işlev. Araştırmacı, SecureRandom() işlevinin kriptografik anahtar materyali için gereken rastgeleleştirme derecesini etkinleştirmemesi nedeniyle birden fazla kripto para birimi ürününün saldırı riski altında olduğu konusunda uyarmıştı.
“Entropi toplanması ve [random number generator] Her ikisi de anahtar materyalin orta düzeyde karmaşıklığa sahip bir üçüncü tarafça kurtarılabileceği derecede yetersizdir” diye uyarmıştı araştırmacı. O zamanlar büyük Web tarayıcılarının da mevcut bir işleve sahip olmaması sorunu daha da karmaşık hale getiriyordu. günümüzün tüm modern tarayıcıları kriptografik olarak güçlü rastgele sayılar üretmek için kullanılır.
Unciphered, “Bitcoin özel anahtarlarının 256 bit entropiyle oluşturulması gerekiyor; ne yazık ki, savunmasız BitcoinJS (veya bağımlı projeler) ile oluşturulan etkilenen anahtarlar genellikle gerekenden daha az entropi kullandı.” dedi. Entropi Bu bağlamda, kriptografik anahtarlar oluşturmak için kullanılan fare hareketleri ve klavye tıklamaları gibi rastgele bilgi parçalarına atıfta bulunur. Genel olarak, kullanılan entropi bitlerinin sayısı arttıkça anahtar rastgeleleştirme derecesi de artar.
Yetersiz Entropi Kripto Cüzdanları Savunmasız Hale Getiriyor
Unciphered, güvenlik açığı nedeniyle araştırmacılarının, içinde çok daha az entropi (genellikle 48 bit) bulunan kriptografik cüzdanların anahtarlarını başarılı bir şekilde kurtarabildiklerini söyledi. Şirket, saldırıya uğraması en kolay cüzdanların Mart 2012’den önce oluşturulmuş cüzdanlar olduğunu söyledi. O zaman ile 2015 arasında, savunmasız BitcoinJS kütüphanesini temel alan cüzdanlar daha fazla entropi içeriyordu ve bu da savunmasız kalsalar bile kırılmalarını çok daha zorlaştırıyordu.
Bununla birlikte, etkilenen cüzdanlardan herhangi birinin kullanıcılarının yeni seçeneklere geçmesi gerekiyor.
Unciphered, “Kusur zaten yazılımla oluşturulan cüzdanlara yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı” dedi. “Yapabildiğimiz tek şey, geçmişte cüzdan oluşturma konusunda aktif olan şirketleri tespit etmeye çalışmak, onları risk konusunda uyarmak ve hâlâ iletişim bilgilerine sahip oldukları müşterileri uyarmalarını istemekti.”