En advarsel til bitcoin-brugere: gamle tegnebøger kan være i fare
US-baserede cybersecurity firma, Unciphered, har advaret brugere globalt om, at deres bitcoin-tegnebøger oprettet før 2016 muligvis er i fare – samt milliarder i BTC.
Tidlige krypto-adoptører og deltagere i en række blockchain-platforme mellem 2011-2015 kan være påvirket af en stor trussel.
I løbet af de sidste 22 måneder har Unciphered arbejdet med en sårbarhed, der påvirkede BitcoinJS, et pakke til browserbaseret generering af kryptotegnebøger.
Da pakken var meget populær, forårsagede sårbarheden generationen af “et betydeligt antal” sårbare kryptotegnebøger gennem årene.
I januar 2022 fandt Unciphered sårbarheden, da de arbejdede for en kunde låst ude af en Blockchain.com (tidligere Blockchain.info) bitcoin-tegnebog.
Ifølge Unciphereds hjemmeside, “Ifølge vores skøn sidder ca. 1,4 mio. BTC i tegnebøger, der blev oprettet med potentielt svage kryptografiske nøgler. Hvis vi konservativt skønner, at kun 3-5% af tegnebøgerne genereret på det tidspunkt var påvirket, udgør den nuværende værdi af mønter i fare mellem 1,2 – 2,1 mia. USD (hvis 1 BTC = 30.000 USD). ”
Flere eksperter har advaret om dette siden 2018.
Problemet er blevet navngivet Randstorm.
Ifølge Unciphereds hjemmeside, “Randstorm() er en term, vi opfandt for at beskrive en samling af fejl, designbeslutninger og API-ændringer, der, når de kommer i kontakt med hinanden, kombineres for dramatisk at reducere kvaliteten af tilfældige tal produceret af webbrowsere fra en bestemt æra (2011-2015). “Det betyder, at de ikke er helt så tilfældige, som de burde være.
På nuværende tidspunkt vil holdet ikke give flere detaljer om udnyttelsen af denne sårbarhed. Dette er gjort for at give ejere tid til at flytte deres midler og undgå at give yderligere information til de skurke, der allerede er i gang.
De matematiske grundlag i bitcoin og blockchain forbliver stærke, understregede holdet. Problemet er en række programmeringsfejl “bredt delt på tværs af mange teknologier.”
Softwareversionen er især afgørende, sagde holdet. Blockchain.info-tegnebøger oprettet før marts 2012, eller andre tegnebøger oprettet ved hjælp af den åbne kildekode af BitcoinJS før afgørende opdateringer i marts 2014, er mere sårbare.
BitcoinJS blev brugt af mange projekter i starten af 2010’erne.
Holdet understreger, at ikke alle de nævnte projekter er påvirket.
For dem, der er, varierer påvirkningen afhængigt af, hvor længe de brugte den sårbare kode, yderligere mitigeringer iværksat og størrelsen af brugerbasen på det tidspunkt.
Holdet bekræftede, at den fundne sårbarhed kan udnyttes. Men mængden af arbejde, der er nødvendig for at udnytte tegnebøger, varierer og stiger over tid: påvirkede tegnebøger genereret i 2014 er markant sværere at angribe end dem, der blev genereret i 2012.
Unciphered offentliggjorde problemet til Blockchain.com, Bitgo, Block.io, Dogechain.info, Bitpay, Blockstream Green, Bitaddress.org, Coinkite og BitcoinJS.
De sagde, “Som følge af dette har over en million brugere modtaget advarsler, der råder dem om, at deres kryptotegnebøger muligvis er sårbare, og opfordrer dem til at flytte deres aktiver til nyere genererede tegnebøger.”
Og BTC er ikke den eneste mønt, der potentielt er påvirket – tegnebøger af mange altcoins kan også være det.
For eksempel bekræftede Unciphered forskere, at de samme fejl eksisterer med DOGE-tegnebogsgenerering i samme periode.
Endelig advarede holdet om, at brugerne måske kun har timer eller dage til at redde deres midler.
“Vi kan ikke gøre mere for at beskytte dig. Nu skal du beskytte dig selv. Flyt dine penge til en ny tegnebog. Lige så snart du kan. ”
Brugere kan kontrollere, om deres tegnebøger er sårbare på www.keybleed.com.