Randstorm İstismarı: 2011-2015 Yılları Arasında Oluşturulan Bitcoin Cüzdanları Bilgisayar Korsanlığına Karşı Savunmasız

2011 ve 2015 yılları arasında oluşturulan Bitcoin cüzdanları, şifreleri kurtarmayı ve çeşitli blok zinciri platformlarını kapsayan çok sayıda cüzdana yetkisiz erişim sağlamayı mümkün kılan Randstorm adlı yeni bir tür istismara karşı hassastır.

"Randstorm, birbirleriyle temas ettiğinde, belirli bir dönemin (2011-2015) web tarayıcıları tarafından üretilen rastgele sayıların kalitesini önemli ölçüde azaltmak için bir araya gelen bir dizi hatayı, tasarım kararını ve API değişikliğini tanımlamak için kullandığımız bir terimdir."

Yaklaşık 1,4 milyon bitcoin'in, potansiyel olarak zayıf kriptografik anahtarlarla oluşturulan cüzdanlara park edildiği tahmin ediliyor. Müşteriler, cüzdanlarının savunmasız olup olmadığını www.keybleed[.]com adresinden kontrol edebilirler.

Kripto para kurtarma şirketi, Ocak 2022'de Blockchain.com cüzdanından kilitlenen isimsiz bir müşteri için çalışırken sorunu yeniden keşfettiğini söyledi. Sorun ilk olarak 2018'de "ketamin" takma adını kullanan bir güvenlik araştırmacısı tarafından vurgulandı.

Güvenlik açığının püf noktası, tarayıcı tabanlı kripto para cüzdanı uygulamaları geliştirmek için kullanılan açık kaynaklı bir JavaScript paketi olan BitcoinJS'nin kullanılmasından kaynaklanıyor.

Özellikle, Randstorm, paketin JSBN javascript kitaplığındaki SecureRandom() işlevine olan güvenine ve o sırada web tarayıcılarının Math.random() işlevinin uygulanmasında var olan ve zayıf sözde rastgele sayı üretimine izin veren kriptografik zayıflıklara dayanmaktadır. BitcoinJS geliştiricileri, Mart 2014'te JSBN kullanımını durdurdu.

Sonuç olarak, yeterli entropi eksikliği, kaba kuvvet saldırıları düzenlemek ve BitcoinJS kütüphanesi (veya bağımlı projeleri) ile oluşturulan cüzdan özel anahtarlarını kurtarmak için kullanılabilir. Kırılması en kolay cüzdanlar Mart 2012'den önce oluşturulmuş olanlardı.

Bulgular, daha önce 2021'in sonlarında Apache Log4j örneğinde ortaya konduğu gibi, yazılım altyapısına güç veren açık kaynak bağımlılıklarına ve bu tür temel kitaplıklardaki güvenlik açıklarının nasıl kademeli tedarik zinciri risklerine sahip olabileceğine bir kez daha yeni bir ışık tutuyor.

Unciphered, "Kusur, yazılımla oluşturulan cüzdanlara zaten yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı" dedi.