Carteiras de Bitcoin criadas entre 2011 e 2015 são suscetíveis a um novo tipo de exploração chamada Randstorm que torna possível recuperar senhas e obter acesso não autorizado a várias carteiras abrangendo várias plataformas blockchain.
"Randstorm() é um termo que nós cunhamos para descrever uma coleção de bugs, decisões de design e mudanças na API que, quando entram em contato uns com os outros, combinam-se para reduzir drasticamente a qualidade dos números aleatórios produzidos pelos navegadores web de uma certa era (2011-2015)", revelou Unciphered em um relatório publicado na semana passada.
Estima-se que aproximadamente 1,4 milhão de bitcoins estão estacionados em carteiras que foram geradas com chaves criptográficas potencialmente fracas.
Os clientes podem verificar se suas carteiras são vulneráveis em www.keybleed[.]com.
A empresa de recuperação de criptomoedas disse que redescobriu o problema em janeiro de 2022 enquanto trabalhava para um cliente não identificado que havia sido bloqueado de sua carteira Blockchain[.]com.
A questão foi destacada pela primeira vez em 2018 por um pesquisador de segurança que usa o alias "ketamine".
O cerne da vulnerabilidade vem do uso do BitcoinJS, um pacote JavaScript de código aberto usado para desenvolver aplicações de carteiras de criptomoedas baseadas em navegador.
Especialmente, Randstorm está enraizado na dependência do pacote da função SecureRandom() na biblioteca javascript JSBN em conjunto com as fraquezas criptográficas que existiam na época nos navegadores web na implementação da função Math.random(), que permitia a geração de números pseudoaleatórios fracos.
Os mantenedores do BitcoinJS descontinuaram o uso do JSBN em março de 2014.
Como resultado, a falta de entropia suficiente poderia ser explorada para realizar ataques de força bruta e recuperar as chaves privadas da carteira geradas com a biblioteca BitcoinJS (ou seus projetos dependentes).
As carteiras mais fáceis de quebrar eram aquelas que haviam sido geradas antes de março de 2012.
As descobertas lançam mais uma vez uma luz nova sobre as dependências de código aberto que alimentam a infraestrutura de software e como as vulnerabilidades em tais bibliotecas fundamentais podem ter riscos de cadeia de suprimentos em cascata, como exposto anteriormente no caso do Apache Log4j em 2021.
"O defeito já estava embutido em carteiras criadas com o software, e ficaria lá para sempre a menos que os fundos fossem movidos para uma nova carteira criada com um novo software", notou Unciphered.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...