Milyonlarca Kripto Cüzdan Hırsızlığa Açık - Dünyadan Güncel Teknoloji Haberleri

Milyonlarca Kripto Cüzdan Hırsızlığa Açık - Dünyadan Güncel Teknoloji Haberleri
Şirket, saldırıya uğraması en kolay cüzdanların Mart 2012’den önce oluşturulmuş cüzdanlar olduğunu söyledi Araştırmacı, SecureRandom() işlevinin kriptografik anahtar materyali için gereken rastgeleleştirme derecesini etkinleştirmemesi nedeniyle birden fazla kripto para birimi ürününün saldırı riski altında olduğu konusunda uyarmıştı

Kripto Cüzdan Hatası Daha Önce Bilinen Bir Sorundur

Unciphered’e göre şirket, BitcoinJS’de bu hafta bildirdiği kusuru ortaya çıkaran ilk şirket değil Ancak Blockchain bu haftaki blog yazısı Araştırmacılar Şifrelenmemiş tahminler, içlerinde potansiyel olarak yüz milyonlarca dolar bulunan milyonlarca cüzdanın saldırılara karşı savunmasız kaldığını gösteriyor com) üzerinde oluşturmuştu ancak şifresini kaybetmişti 2018 yılında “ketamin” tanıtıcısını kullanan bir güvenlik araştırmacısı şunu bildirmişti: birden fazla güvenlik açığı bulma SecureRandom()’da, BitcoinJS’deki sorunun kökenindeki işlev Entropi Bu bağlamda, kriptografik anahtarlar oluşturmak için kullanılan fare hareketleri ve klavye tıklamaları gibi rastgele bilgi parçalarına atıfta bulunur ”



siber-1

” dedi

“Randstorm” Güvenlik Açığı

BitcoinJS’deki açık kaynak koduna dayanan güvenlik açığı işlevi, o dönemde büyük tarayıcılardaki sözde rastgele sayı üreteçlerinde var olan bir zayıflıkla birleştiğinde, tahmin saldırılarına dayanacak kadar rastgele olmayan kripto cüzdanları için anahtarların üretilmesine neden oldu

BrainWallet, CoinPunk ve QuickCoin dahil olmak üzere, savunmasız BitcoinJS kütüphanesini kullanan projelerin birçoğu artık ortalıkta yok O zaman ile 2015 arasında, savunmasız BitcoinJS kütüphanesini temel alan cüzdanlar daha fazla entropi içeriyordu ve bu da savunmasız kalsalar bile kırılmalarını çok daha zorlaştırıyordu com, Bitgo, Dogechain Ancak onu geri almanın bir yolunu bulma sürecinde şirketteki araştırmacılar, o zamandan beri “Randstorm” adını verdikleri BitcoinJS güvenlik açığını keşfettiler Şirket, “Bir kişinin etkilenen bir cüzdanda varlık bulundurmasının mümkün olması durumunda, bunların güvenilir yazılımla oluşturulan yeni oluşturulan bir cüzdana taşınması gerekir” dedi Keşiften bu yana geçen 22 ay içinde araştırmacılar, etkilenen kullanıcıları tehdit hakkında bilgilendirmek için Blockchain Bu kişi, Bitcoin cüzdanına erişimini yeniden sağlamaya çalışmak için Unciphered’i işe almıştı

Unciphered’ın şifreyi kurtarma çabası başarısız oldu 2014 yılında Blockchain

“Entropi toplanması ve [random number generator] Her ikisi de anahtar materyalin orta düzeyde karmaşıklığa sahip bir üçüncü tarafça kurtarılabileceği derecede yetersizdir” diye uyarmıştı araştırmacı ” dedi info ve Blocktrail gibi diğer birkaçı hala aktif

Bununla birlikte, etkilenen cüzdanlardan herhangi birinin kullanıcılarının yeni seçeneklere geçmesi gerekiyor info (şimdiki adı Blockchain



2011 ile 2015 yılları arasında oluşturulan kripto para cüzdanları, tehdit aktörlerinin fonlara erişim için şifreleri kurtarmak amacıyla kaba kuvvet yöntemleri kullanmasına olanak tanıyan bir saldırıya karşı savunmasızdır com ve savunmasız BitcoinJS işlevini içeren diğer şirketlerle çalışıyor “Yapabildiğimiz tek şey, geçmişte cüzdan oluşturma konusunda aktif olan şirketleri tespit etmeye çalışmak, onları risk konusunda uyarmak ve hâlâ iletişim bilgilerine sahip oldukları müşterileri uyarmalarını istemekti

Unciphered, “Bitcoin özel anahtarlarının 256 bit entropiyle oluşturulması gerekiyor; ne yazık ki, savunmasız BitcoinJS (veya bağımlı projeler) ile oluşturulan etkilenen anahtarlar genellikle gerekenden daha az entropi kullandı

Yetersiz Entropi Kripto Cüzdanları Savunmasız Hale Getiriyor

Unciphered, güvenlik açığı nedeniyle araştırmacılarının, içinde çok daha az entropi (genellikle 48 bit) bulunan kriptografik cüzdanların anahtarlarını başarılı bir şekilde kurtarabildiklerini söyledi Genel olarak, kullanılan entropi bitlerinin sayısı arttıkça anahtar rastgeleleştirme derecesi de artar

Unciphered, “Birden fazla kuruluşla açıklamayı koordine ediyoruz ve bunun sonucunda milyonlarca kullanıcı uyarıldı O zamanlar büyük Web tarayıcılarının da mevcut bir işleve sahip olmaması sorunu daha da karmaşık hale getiriyordu günümüzün tüm modern tarayıcıları kriptografik olarak güçlü rastgele sayılar üretmek için kullanılır

Sorun, Web ve NodeJS platformları için Bitcoin ve diğer kripto para birimi uygulamalarını oluşturmaya yönelik bir JavaScript kitaplığı olan BitcoinJS’de artık kullanılmayan bir rastgeleleştirme işleviyle ilgilidir

Bireylerin ve kuruluşların erişime kapatılmış oldukları kripto para birimi cüzdanlarını kurtarmalarına yardımcı olan bir girişim olan Unciphered’deki araştırmacılar, sorunu Ocak 2022’de böyle bir müşteriye yardım ederken keşfettiler

Unciphered, “Kusur zaten yazılımla oluşturulan cüzdanlara yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı” dedi