Les portefeuilles Bitcoin créés entre 2011 et 2015 sont susceptibles d’être victimes d’un nouveau type d’exploit appelé Tempête de Rand qui permet de récupérer des mots de passe et d’obtenir un accès non autorisé à une multitude de portefeuilles répartis sur plusieurs plateformes blockchain.
« Randstorm() est un terme que nous avons inventé pour décrire un ensemble de bugs, de décisions de conception et de modifications d’API qui, lorsqu’ils sont mis en contact les uns avec les autres, se combinent pour réduire considérablement la qualité des nombres aléatoires produits par les navigateurs Web d’une certaine époque ( 2011-2015), » non chiffré divulgué dans un rapport publié la semaine dernière.
On estime qu’environ 1,4 million de bitcoins sont stockés dans des portefeuilles générés avec des clés cryptographiques potentiellement faibles. Les clients peuvent vérifier si leurs portefeuilles sont vulnérables sur www.keybleed[.]com.
La société de récupération de crypto-monnaie a déclaré avoir redécouvert le problème en janvier 2022 alors qu’il était en cours. travailler pour un client anonyme qui avait été exclu de son portefeuille Blockchain.com. Le problème était mis en évidence pour la première fois en 2018 par un chercheur en sécurité qui s’appelle « kétamine ».
Le nœud de la vulnérabilité provient de l’utilisation de BitcoinJSun package JavaScript open source utilisé pour développer des applications de portefeuille de crypto-monnaie basées sur un navigateur.
En particulier, Randstorm est enraciné dans la dépendance du package à l’égard de la fonction SecureRandom() dans le bibliothèque javascript JSBN couplé aux faiblesses cryptographiques qui existaient à cette époque dans l’implémentation de la fonction Math.random() dans les navigateurs Web, qui permettaient une faible génération de nombres pseudo-aléatoires. Les responsables de BitcoinJS ont arrêté d’utiliser JSBN en mars 2014.
En conséquence, le manque d’entropie pourrait être exploité pour lancer des attaques par force brute et récupérer les clés privées du portefeuille générées avec la bibliothèque BitcoinJS (ou ses projets dépendants). Les portefeuilles les plus faciles à ouvrir étaient ceux générés avant mars 2012.
Les résultats jettent une fois de plus un nouvel éclairage sur les dépendances open source qui alimentent l’infrastructure logicielle et sur la manière dont les vulnérabilités de ces bibliothèques fondamentales peuvent entraîner des risques en cascade sur la chaîne d’approvisionnement, comme cela avait été mis à nu dans le cas d’Apache Log4j fin 2021.
« La faille était déjà intégrée aux portefeuilles créés avec le logiciel, et elle y resterait pour toujours à moins que les fonds ne soient transférés vers un nouveau portefeuille créé avec un nouveau logiciel », a noté Unciphered.