Peneliti geus kapanggih sababaraha kerentanan dina perpustakaan BitcoinJS nu bisa nyieun dompet Bitcoin dijieun online dasawarsa ka tukang rentan ka Hacking. Masalah dasarna nyaéta konci pribadi pikeun dompét crypto ieu dibangkitkeun kalayan prediksi anu langkung ageung tibatan anu dipiharep ku pamekar perpustakaan.

Kerentanan sareng akibatna

Hayu urang mimitian ti mimiti. Panaliti di Unciphered, perusahaan khusus dina pamulihan aksés dompét crypto, mendakan sareng ngajelaskeun sababaraha kerentanan dina perpustakaan JavaScript BitcoinJS anu dianggo ku seueur platform cryptocurrency online. Diantara jasa ieu aya sababaraha anu kasohor pisan – khususna, Blockchain.info, ayeuna katelah Blockchain.com. Panaliti nyebatkeun kumpulan kerentanan ieu Randstorm.

Sanajan kerentanan dina perpustakaan BitcoinJS sorangan dibereskeun dina 2014, masalah ngalegaan kana hasil tina ngagunakeun perpustakaan ieu: dompet crypto dijieun kalawan BitcoinJS dina awal 2010s bisa jadi teu aman – dina harti yén éta téh loba gampang pikeun manggihan swasta. konci. ti dianggap ku kriptografi Bitcoin kaayaan.

Panaliti ngira-ngira yén sababaraha juta dompét, jumlahna sakitar 1,4 juta BTC, berpotensi résiko kusabab Randstorm. Antawis berpotensi rentan dompet, nurutkeun peneliti, 3-5% di antarana aya sabenerna rentan pikeun serangan nyata. Dumasar kana estimasi Nilai tukeur Bitcoin sabudeureun $36.500 dina waktu posting, ieu bakal hartosna jumlah loot $1.5-2.5 milyar pikeun lawan anu hasil dieksploitasi Randstorm.

Panaliti ngaku yén kerentanan Randstorm memang tiasa dianggo pikeun serangan dunya nyata ngalawan dompét crypto. Leuwih ti éta, maranéhna junun mangpaatkeun kerentanan ieu mulangkeun aksés ka sababaraha dompét crypto dijieun dina Blockchain.info saméméh Maret 2012. Pikeun alesan etika, aranjeunna henteu nyebarkeun hiji bukti konsép pikeun serangan, sakumaha ieu bakal langsung kakeunaan puluhan rébu dompét crypto pikeun maling résiko.

Peneliti geus ngahubungi jasa cryptocurrency online dipikawanoh ngagunakeun versi rentan tina perpustakaan BitcoinJS. Sabalikna, jasa ieu ngabéjaan ka konsumén anu berpotensi kapangaruhan ku Randstorm.

Sifat vulnerabilities Randstorm

Hayu urang tingali langkung rinci kumaha kerentanan ieu leres-leres jalanna. Intina kaamanan dompét Bitcoin perenahna di konci swasta. Sapertos sistem kriptografi modéren sanés, Bitcoin ngandelkeun konci ieu janten rahasia sareng teu tiasa dipecahkeun. Deui, sakumaha dina sistem cryptographic modern sejen, ieu ngalibatkeun pamakéan angka acak pisan lila.

Sareng pikeun kaamanan data anu ditangtayungan ku konci pribadi, éta kedah acak-gancang. Upami nomer anu dianggo salaku konci tiasa diprediksi pisan, panyerang anu gaduh inpormasi ngeunaan prosedur generasi konci bakal langkung gampang sareng langkung gancang pikeun maksakeun jumlahna.

Inget yen ngahasilkeun a sabenerna angka acak teu keur leumpang di taman. Sareng komputer dasarna henteu cocog sareng tugasna sabab teuing katebak. Ku alatan éta, naon urang biasana boga pseudo-acak angka, sarta pikeun ngaronjatkeun éntropi Generasi ieu (kecap cryptographer pikeun ukuran kateupastian) urang ngandelkeun fungsi husus.

Ayeuna balik deui ka perpustakaan BitcoinJS. Pikeun ménta nomer pseudo-acak “kualitas luhur”, perpustakaan ieu ngagunakeun perpustakaan JavaScript sejen disebut JSBN (JavaScript Big Number), husus. SafeRandom fungsi. Sakumaha ngaranna nunjukkeun, fungsi ieu dirancang pikeun ngahasilkeun angka pseudo-acak nu cocog keur dipake dina kriptografi. Pikeun ningkatkeun éntropi, SafeRandom gumantung kana fungsionalitas browser window.crypto.random.

Di dieu perenahna masalah: sanajan window.crypto.random fungsi nu eksis dina Netscape Navigator 4.x kulawarga panyungsi, panyungsi ieu geus leungit ku waktu jasa web mimiti aktip ngagunakeun perpustakaan BitcoinJS. Jeung dina panyungsi populér poé – Internet Explorer, Google Chrome, Mozilla Firefox, sarta Apple Safari – nu window.crypto.random fungsina teu dilaksanakeun.

Hanjakalna, pamekar perpustakaan JSBN gagal nyayogikeun sagala jinis cek atanapi pesen kasalahan anu aya hubunganana. Salaku hasilna, SafeRandom fungsina ngalangkungan léngkah paningkatan éntropi sacara cicingeun, sacara efektif nyéépkeun tugas ngahasilkeun konci pribadi ka generator nomer pseudo-acak standar, Matematika.acak.

Ieu sorangan goréng sabab Matematika.acak teu cocog pikeun tujuan cryptographic. Tapi kaayaan jadi malah parah alatan kanyataan yén Matematika.acak palaksanaan dina browser populér 2011-2015 – utamana Google Chrome – ngandung bug nu dihasilkeun angka acak leuwih saeutik ti nu dimaksud.

Dina gilirannana, perpustakaan BitcoinJS inherits sagala masalah disebutkeun di luhur ti JSBN. Hasilna, platform anu ngagunakeun éta pikeun ngahasilkeun konci swasta pikeun dompét crypto meunang angka acak jauh leuwih saeutik tina fungsi SecureRandom ti developer perpustakaan diperkirakeun. Sarta alatan konci ieu dihasilkeun kalawan predictability tinggi, aranjeunna gampang BRUTE-force – sahingga dompét crypto rentan bisa dibajak.

Sakumaha didadarkeun di luhur, ieu teu bahaya teoritis, tapi rada praktis – tim Unciphered éta bisa mangpaatkeun kerentanan ieu mulangkeun aksés ka (dina basa sejen, ethically hack) sababaraha dompet crypto warisan dijieun dina Blockchain.info.

Randstorm: saha anu résiko?

BitcoinJS garapan perpustakaan JSBN rentan ti mimiti diwanohkeun dina 2011 nepi ka 2014. Sanajan kitu, tetep dina pikiran nu sababaraha proyék cryptocurrency mungkin geus ngagunakeun versi heubeul perpustakaan pikeun sawatara waktu. Sedengkeun pikeun bug anu pencét Matematika.acak dina panyungsi populér, dina 2016 masalah ieu dibereskeun ku ngarobah algoritma pikeun ngahasilkeun angka pseudo-acak. Gemblengna, ieu nyayogikeun waktos perkiraan 2011-2015 nalika dompét crypto anu berpotensi rentan diciptakeun.

Para panalungtik ngantebkeun yén BitcoinJS éta jadi populér di awal 2010s nu hese compile daptar lengkep jasa nu bisa jadi maké versi rentan. Laporanna nyayogikeun daptar platform anu aranjeunna diidentifikasi janten résiko:

  • Alamat Bit – masih operasional.
  • BitCore (BitPay) – masih operasional.
  • Bitgo – masih operasional.
  • inpo – masih beroperasi salaku Blockchain.com.
  • ngalacak blok – alihan ka https://btc.com atawa https://blockchair.com .
  • Dompét Otak – maot.
  • KoinKite – ayeuna ngajual dompét hardware.
  • CoinPunk – maot.
  • Dompét poék – alihan ka https://crypto-engine.org .
  • Bank Deséntral – maot.
  • inpo (Block.io) – masih operasional.
  • EI8HT – maot.
  • Alamat héjo – alihan ka https://blockstream.com/green/ .
  • QuickCon – maot.
  • Robocoin – maot.
  • ATM Skyhook – alihan ka https://yuan-pay-group.net .

Sajaba ti dompet Bitcoin, Litecoin, Zcash, sarta dompét Dogecoin ogé bisa jadi dina resiko, sabab aya perpustakaan basis BitcoinJS pikeun cryptocurrencies ieu ogé. Sigana lumrah mun nganggap yén perpustakaan ieu bisa dipaké pikeun ngahasilkeun konci swasta pikeun dompet crypto individu.

Laporan Unciphered ngécéskeun sababaraha intricacies séjén patali Randstorm. Tapi garis handap éta dompet dijieun antara 2011 jeung 2015 ngagunakeun perpustakaan rentan bisa jadi rentan ka varying derajat – gumantung kana kaayaan husus.

Kumaha ngajaga ngalawan Randstorm

Salaku panalungtik nyatakeun, ieu teu cukup pikeun ngalereskeun kerentanan dina software: “patching” konci pribadi nu boga dompét tur ngaganti eta ku hiji aman teu mungkin. Ku kituna, sanajan kanyataan yén bug geus lila dibereskeun, terus mangaruhan dompét crypto dijieun nalika kasalahan dibahas di luhur kaganggu perpustakaan BitcoinJS. Ieu ngandung harti yén pamilik dompét anu rentan kedah nyandak ukuran pelindung.

Kusabab tugas nyusun daptar lengkep platform cryptocurrency anu nganggo perpustakaan anu rentan hese, langkung saé maénna aman sareng nganggap dompét crypto anu diciptakeun. dina garis di antara 2011 jeung 2015 berpotensi unsafe (iwal mun nyaho pasti yén éta téh unsafe). Sarta tangtu, nu fatter dompét – beuki pikabitaeun éta pikeun penjahat.

Solusi anu jelas (sareng ngan ukur) pikeun masalah ieu nyaéta nyiptakeun dompét crypto énggal sareng mindahkeun sadaya dana tina dompét anu berpotensi rentan ka dinya.

Sarta saprak anjeun kudu ngalakukeun ieu atoh, asup akal pikeun lumangsungna kalawan caution ekstrim waktos ieu. Perlindungan Crypto mangrupikeun prosés multi-léngkah, naha éta kami parantos ngahijikeun daptar pariksa komprehensif pikeun anjeun kalayan seueur inpormasi tambahan anu tiasa diaksés ngalangkungan tautan:

  1. Jelajahi ancaman crypto utama sareng metode panyalindungan sacara rinci.
  2. Ngartos bédana antara dompét crypto panas sareng tiis, ogé cara anu paling umum diserang.
  3. Anggo dompét hardware (tiis) pikeun neundeun jangka panjang aset crypto inti, sareng dompét panas kalayan dana minimal pikeun transaksi sadinten.
  4. Sateuacan nransper sadaya dana tina dompét lami anjeun ka dompét énggal anjeun, lengkepan sadaya alat anjeun kalayan panyalindungan anu dipercaya. Ieu bakal ngajagi smartphone anjeun atanapi komputer tina Trojans anu hoyong maok kecap akses sareng konci pribadi atanapi gunting anu ngagentos alamat dompét crypto dina clipboard, ogé ngajagi komputer anjeun tina panambang crypto jahat sareng aksés jauh anu henteu sah.
  5. Entong nyimpen poto atanapi potret layar tina frasa siki anjeun dina telepon sélulér anjeun, henteu kantos ngeposkeun frasa siki anjeun dina méga umum, henteu pernah ngirimkeunana via utusan atanapi email, sareng entong lebetkeunana di mana waé kecuali nalika ngalereskeun konci pribadi anu leungit.
  6. Simpen konci pribadi anjeun sareng frasa cikal pikeun pamulihan anu aman. Ieu tiasa dilakukeun nganggo Dompét Perlindungan Idéntitas dina Kaspersky Premium, anu énkripsi sadaya data anu disimpen nganggo AES-256. Kecap akses pikeun dokumén éta henteu disimpen di mana waé tapi dina sirah anjeun (kacuali, tangtosna, aranjeunna dina catetan caket anu dipasang dina monitor anjeun) sareng henteu tiasa pulih – janten hiji-hijina anu ngagaduhan aksés kana dokumén pribadi anjeun. nyaéta Anjeun.
  7. Pilihan séjén nyaéta ngagunakeun dompét crypto tiis anu henteu meryogikeun frasa cikal pikeun nyadangkeun konci pribadi. Contona, ieu kumaha dompét hardware Tangem jalan.


#Kerentanan #dina #dompét #crypto #didamel #online #dina #awal #2010s