加密安全漏洞暴露了 Libbitcoin Explorer 3.x 库中的一个重大漏洞,导致比特币用户账户非法提取超过 90 万美元。 区块链安全公司 SlowMist 最近的一份报告详细介绍了此次泄露事件。
目标软件 Libbitcoin Bitcoin Explorer 是一种命令行工具,广泛用于各种比特币操作,包括生成加密密钥和监督交易。 通过回避对完整节点的要求,该实用程序促进了与比特币网络的互动,满足了开发人员和熟练用户的需求。
特别值得关注的是众多加密货币钱包广泛依赖 Libbitcoin Explorer 来获取私钥熵。 这一漏洞使黑客能够在多个区块链上秘密窃取大量资金,凸显了解决漏洞和加强整个加密货币领域安全措施的紧迫性。
“Milk Sad”漏洞导致加密货币盗窃
该漏洞由网络安全团队 Distrust 发现,该团队将该漏洞称为“Milk Sad”漏洞, 慢雾说。 Libbitcoin Explorer 中被利用的漏洞允许攻击者操纵其错误的密钥生成机制,从而有效地猜测私钥。
🚨慢雾安全警报🚨
最近, #怀疑 发现了一个影响加密货币钱包的严重漏洞 #Libbitcoin 资源管理器 3.x 版本。 该漏洞允许攻击者通过利用 Mersenne Twister 伪随机数来访问钱包私钥……
— 慢雾 (@SlowMist_Team) 2023 年 8 月 10 日
这一违规行为已报告给 CVE网络安全漏洞数据库导致大量加密货币被盗,截至周四,被盗总金额超过 90 万美元。
“如果您使用 Libbitcoin 的比特币浏览器生成钱包,包括《掌握比特币》附录中所述,那么您的资金就会面临风险(或已经被盗),”加密技术作家 大卫·哈丁 (David Harding) 在 X 上写道。
如果您使用 Libbitcoin 的比特币浏览器生成钱包,包括如《掌握比特币》附录中所述,您的资金将面临风险(或已被盗)。
完整详细信息: https://t.co/Crlw63lUr4
— 大卫·A·哈丁 (@hrdng) 2023 年 8 月 8 日
有错误的种子子命令
据 Distrust 称,问题的核心在于用于生成新钱包私钥熵的种子子命令有缺陷。 这种错误的机制会导致产生不安全的输出,从而使加密货币资产容易被盗。
为了说明潜在的影响,专家将这种情况比作使用密码管理器保护在线银行帐户,密码管理器始终为多个用户生成相同的密码。 恶意行为者利用这一弱点,设法从一系列受影响的账户中抽走资金。
Bitcoin (BTC) trading at $29,389 today. Chart: TradingView.com
Distrust 的警示性调查结果突显了安全有效性的惊人下降,即使是高性能游戏 PC 也能在 24 小时内迅速突破受感染的种子。
尽管受 Libbitcoin 漏洞影响的具体钱包以及加密货币盗窃的确切程度尚未得到证实,但有证据表明 漏洞利用 今年六月和七月期间“野外”运行。
该调查强调了解决此类漏洞以保护加密货币交易及其所涉及的数字资产的完整性的紧迫性。
精选图片来自 科技熊猫
