Randstorm İstismarı: 2011-2015 Yılları Arasında Oluşturulan Bitcoin Cüzdanları Bilgisayar Korsanlığına Karşı Savunmasız
2011 ve 2015 yılları arasında oluşturulan Bitcoin cüzdanları, şifreleri kurtarmayı ve çeşitli blok zinciri platformlarını kapsayan çok sayıda cüzdana yetkisiz erişim sağlamayı mümkün kılan Randstorm adlı yeni bir tür istismara karşı hassastır.
"Randstorm, birbirleriyle temas ettiğinde, belirli bir dönemin (2011-2015) web tarayıcıları tarafından üretilen rastgele sayıların kalitesini önemli ölçüde azaltmak için bir araya gelen bir dizi hatayı, tasarım kararını ve API değişikliğini tanımlamak için kullandığımız bir terimdir."
Yaklaşık 1,4 milyon bitcoin'in, potansiyel olarak zayıf kriptografik anahtarlarla oluşturulan cüzdanlara park edildiği tahmin ediliyor. Müşteriler, cüzdanlarının savunmasız olup olmadığını www.keybleed[.]com adresinden kontrol edebilirler.
Kripto para kurtarma şirketi, Ocak 2022'de Blockchain.com cüzdanından kilitlenen isimsiz bir müşteri için çalışırken sorunu yeniden keşfettiğini söyledi. Sorun ilk olarak 2018'de "ketamin" takma adını kullanan bir güvenlik araştırmacısı tarafından vurgulandı.
Güvenlik açığının püf noktası, tarayıcı tabanlı kripto para cüzdanı uygulamaları geliştirmek için kullanılan açık kaynaklı bir JavaScript paketi olan BitcoinJS'nin kullanılmasından kaynaklanıyor.
Özellikle, Randstorm, paketin JSBN javascript kitaplığındaki SecureRandom() işlevine olan güvenine ve o sırada web tarayıcılarının Math.random() işlevinin uygulanmasında var olan ve zayıf sözde rastgele sayı üretimine izin veren kriptografik zayıflıklara dayanmaktadır. BitcoinJS geliştiricileri, Mart 2014'te JSBN kullanımını durdurdu.
Sonuç olarak, yeterli entropi eksikliği, kaba kuvvet saldırıları düzenlemek ve BitcoinJS kütüphanesi (veya bağımlı projeleri) ile oluşturulan cüzdan özel anahtarlarını kurtarmak için kullanılabilir. Kırılması en kolay cüzdanlar Mart 2012'den önce oluşturulmuş olanlardı.
Bulgular, daha önce 2021'in sonlarında Apache Log4j örneğinde ortaya konduğu gibi, yazılım altyapısına güç veren açık kaynak bağımlılıklarına ve bu tür temel kitaplıklardaki güvenlik açıklarının nasıl kademeli tedarik zinciri risklerine sahip olabileceğine bir kez daha yeni bir ışık tutuyor.
Unciphered, "Kusur, yazılımla oluşturulan cüzdanlara zaten yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı" dedi.
Benzer Haberler
Kötü Amaçlı NPM Paketleri, SSH Arka Kapısı ile Geliştiricilerin Ethereum Cüzdanlarını Hedef Alıyor
Binance, Kripto Para Kullanıcılarını Hedef Alan Artan Clipper Kötü Amaçlı Yazılım Saldırılarına Karşı Uyardı
Rust Tabanlı P2PInfect Botnet, Madenci ve Fidye Yazılımı Yükleriyle Gelişiyor
ABD, Rusya'nın Yaptırımlardan Kaçmasına Yardım Ettiği İçin 3 Kripto Para Borsasına Yaptırım Uyguladı
Yeni Kimlik Avı Kiti, Kripto Para Birimi Kullanıcılarını Hedeflemek için SMS ve Sesli Aramalardan Yararlanıyor
Kuzey Koreli Bilgisayar Korsanları Kötü Amaçlı NPM Paketleriyle Geliştiricileri Hedef Alıyor
RustDoor macOS Backdoor, Kripto Para Firmalarını Sahte İş Teklifleriyle Hedefliyor
BTC-e ile Bağlantılı Belarus Vatandaşı 4 Milyar Dolarlık Kripto Para Aklama Suçundan 25 Yıl Hapis Cezasıyla Karşı Karşıya