Կրիպտո անվտանգության խախտումը բացահայտել է Libbitcoin Explorer 3.x գրադարանի զգալի խոցելիությունը, որի արդյունքում ավելի քան 900,000 դոլար անօրինական դուրս է բերվել Bitcoin-ի օգտատերերի հաշիվներից: Խախտումը մանրամասն ներկայացվել է SlowMist-ի՝ բլոկչեյն անվտանգության ընկերության վերջին զեկույցում:
Թիրախավորված ծրագրակազմը՝ Libbitcoin Bitcoin Explorer-ը, հրամանի տող գործիք է, որը լայնորեն օգտագործվում է Bitcoin-ի տարբեր գործառնությունների համար, ներառյալ գաղտնագրային բանալիներ ստեղծելը և գործարքները վերահսկելը: Շրջանցելով ամբողջական հանգույցի պահանջը, կոմունալը հեշտացնում է ներգրավվածությունը Bitcoin ցանցի հետ՝ սպասարկելով ծրագրավորողներին և հմուտ օգտատերերին:
Հատկապես մտահոգիչ է Libbitcoin Explorer-ի լայնածավալ վստահությունը բազմաթիվ կրիպտոարժույթների դրամապանակների կողմից մասնավոր բանալիների էնտրոպիա ստանալու համար: Այս խախտումը թույլ է տվել հաքերներին թաքնված զգալի գումարներ հավաքել բազմաթիվ բլոկչեյններում՝ ընդգծելով խոցելիությունը լուծելու և կրիպտոարժույթի լանդշաֆտի անվտանգության միջոցառումներն ուժեղացնելու հրատապությունը:
«Կաթի տխուր» բացը հանգեցնում է ծպտյալ գողության
Խախտումը հայտնաբերվել է կիբերանվտանգության Distrust թիմի կողմից, որը խոցելիությունն անվանել է «Կաթնային տխուր» սողանցք: SlowMist-ն ասաց. Libbitcoin Explorer-ի շահագործվող խոցելիությունը թույլ է տվել հարձակվողներին շահարկել բանալիների ստեղծման սխալ մեխանիզմը՝ արդյունավետորեն հնարավորություն տալով նրանց գուշակել մասնավոր բանալիները:
🚨SlowMist անվտանգության ահազանգ🚨
Վերջերս, #Անվստահություն, կասկած հայտնաբերել է խիստ խոցելիություն, որն ազդում է կրիպտոարժույթի դրամապանակների վրա՝ օգտագործելով #Libbitcoin Explorer 3.x տարբերակները. Այս խոցելիությունը թույլ է տալիս հարձակվողներին մուտք գործել դրամապանակի անձնական բանալիներ՝ օգտագործելով Mersenne Twister կեղծ պատահական…
- SlowMist (@SlowMist_Team) Օգոստոս 10, 2023
Այս խախտումը, որը հաղորդվել է CVE կիբերանվտանգության խոցելիության տվյալների բազա, հանգեցրել է կրիպտոարժույթի զգալի պաշարների ոչնչացմանը, որի ընդհանուր գողացված գումարը հինգշաբթի օրվա դրությամբ հասել է ավելի քան $900,000-ի:
«Եթե դուք դրամապանակ եք ստեղծել՝ օգտագործելով Libbitcoin-ի Bitcoin Explorer-ը, ներառյալ, ինչպես նկարագրված է Bitcoin Mastering-ի հավելվածում, ձեր միջոցները վտանգի տակ են (կամ արդեն գողացված են)», - կրիպտոտեխնիկական գրող: Դեյվիդ Հարդինգը X-ում գրել է.
Եթե դուք դրամապանակ եք ստեղծել՝ օգտագործելով Libbitcoin-ի Bitcoin Explorer-ը, ներառյալ, ինչպես նկարագրված է Bitcoin Mastering-ի հավելվածում, ձեր միջոցները վտանգի տակ են (կամ արդեն գողացված են):
Ամբողջական մանրամասները՝ https://t.co/Crlw63lUr4
— Դեյվիդ Ա. Հարդինգ (@hrdng) Օգոստոս 8, 2023
Սերմերի սխալ ենթահրաման
Ըստ Distrust-ի, խնդրի առանցքը կայանում է թերի seed subcommand-ում, որն օգտագործվում է թարմ դրամապանակի մասնավոր բանալին էնտրոպիա ստեղծելու համար: Այս անսարք մեխանիզմը հանգեցնում է անապահով արդյունքների արտադրությանը՝ կրիպտոարժույթի սեփականատերերը խոցելի դարձնելով գողության համար:
Հնարավոր ազդեցությունը ցույց տալու համար փորձագետները իրավիճակը նմանեցնում են առցանց բանկային հաշիվը գաղտնաբառերի կառավարչի միջոցով ապահովելու հետ, որը հետևողականորեն ստեղծում է նույն գաղտնաբառերը բազմաթիվ օգտատերերի համար: Օգտվելով այս թուլությունից՝ չարամիտ խաղացողներին հաջողվել է միջոցները սպառել մի շարք տուժած հաշիվներից:
Bitcoin-ը (BTC) այսօր վաճառվում է $29,389-ով: Գծապատկեր՝ TradingView.com
Անվստահության նախազգուշական բացահայտումները ընդգծում են անվտանգության արդյունավետության տագնապալի անկումը, երբ նույնիսկ բարձր արդյունավետությամբ խաղային համակարգիչը կարող է արագորեն կոտրել վտանգված սերմերը 24 ժամից ցածր:
Թեև Libbitcoin-ի խոցելիության և կրիպտոարժույթի գողության ճշգրիտ չափի վրա ազդված հատուկ դրամապանակներ մնում են չհաստատված, ապացույցները ցույց են տալիս, որ շահագործումը գործել է «վայրի բնության մեջ» այս տարվա հունիս և հուլիս ամիսներին:
Հետաքննությունն ընդգծում է նման խոցելիության շտկման հրատապությունը՝ պաշտպանելու կրիպտոարժույթով գործարքների և դրանցում ներառված թվային ակտիվների ամբողջականությունը:
Առաջարկվող պատկերը Tech Panda
Աղբյուր՝ https://bitcoinist.com/crypto-breach-hackers-make-off-with-900k/