Milyonlarca Kripto Cüzdan Hırsızlığa Açık - Dünyadan Güncel Teknoloji Haberleri

Milyonlarca Kripto Cüzdan Hırsızlığa Açık - Dünyadan Güncel Teknoloji Haberleri
Bu kişi, Bitcoin cüzdanına erişimini yeniden sağlamaya çalışmak için Unciphered’i işe almıştı info ve Blocktrail gibi diğer birkaçı hala aktif Şirket, “Bir kişinin etkilenen bir cüzdanda varlık bulundurmasının mümkün olması durumunda, bunların güvenilir yazılımla oluşturulan yeni oluşturulan bir cüzdana taşınması gerekir” dedi O zaman ile 2015 arasında, savunmasız BitcoinJS kütüphanesini temel alan cüzdanlar daha fazla entropi içeriyordu ve bu da savunmasız kalsalar bile kırılmalarını çok daha zorlaştırıyordu

Unciphered, “Kusur zaten yazılımla oluşturulan cüzdanlara yerleştirilmişti ve fonlar yeni yazılımla oluşturulan yeni bir cüzdana taşınmadığı sürece sonsuza kadar orada kalacaktı” dedi com ve savunmasız BitcoinJS işlevini içeren diğer şirketlerle çalışıyor

Sorun, Web ve NodeJS platformları için Bitcoin ve diğer kripto para birimi uygulamalarını oluşturmaya yönelik bir JavaScript kitaplığı olan BitcoinJS’de artık kullanılmayan bir rastgeleleştirme işleviyle ilgilidir

“Randstorm” Güvenlik Açığı

BitcoinJS’deki açık kaynak koduna dayanan güvenlik açığı işlevi, o dönemde büyük tarayıcılardaki sözde rastgele sayı üreteçlerinde var olan bir zayıflıkla birleştiğinde, tahmin saldırılarına dayanacak kadar rastgele olmayan kripto cüzdanları için anahtarların üretilmesine neden oldu Araştırmacılar Şifrelenmemiş tahminler, içlerinde potansiyel olarak yüz milyonlarca dolar bulunan milyonlarca cüzdanın saldırılara karşı savunmasız kaldığını gösteriyor O zamanlar büyük Web tarayıcılarının da mevcut bir işleve sahip olmaması sorunu daha da karmaşık hale getiriyordu Entropi Bu bağlamda, kriptografik anahtarlar oluşturmak için kullanılan fare hareketleri ve klavye tıklamaları gibi rastgele bilgi parçalarına atıfta bulunur



2011 ile 2015 yılları arasında oluşturulan kripto para cüzdanları, tehdit aktörlerinin fonlara erişim için şifreleri kurtarmak amacıyla kaba kuvvet yöntemleri kullanmasına olanak tanıyan bir saldırıya karşı savunmasızdır info (şimdiki adı Blockchain

Kripto Cüzdan Hatası Daha Önce Bilinen Bir Sorundur

Unciphered’e göre şirket, BitcoinJS’de bu hafta bildirdiği kusuru ortaya çıkaran ilk şirket değil ” dedi ” dedi Ancak Blockchain bu haftaki blog yazısı ”



siber-1

“Yapabildiğimiz tek şey, geçmişte cüzdan oluşturma konusunda aktif olan şirketleri tespit etmeye çalışmak, onları risk konusunda uyarmak ve hâlâ iletişim bilgilerine sahip oldukları müşterileri uyarmalarını istemekti

Bununla birlikte, etkilenen cüzdanlardan herhangi birinin kullanıcılarının yeni seçeneklere geçmesi gerekiyor

Unciphered, “Birden fazla kuruluşla açıklamayı koordine ediyoruz ve bunun sonucunda milyonlarca kullanıcı uyarıldı

Yetersiz Entropi Kripto Cüzdanları Savunmasız Hale Getiriyor

Unciphered, güvenlik açığı nedeniyle araştırmacılarının, içinde çok daha az entropi (genellikle 48 bit) bulunan kriptografik cüzdanların anahtarlarını başarılı bir şekilde kurtarabildiklerini söyledi

Bireylerin ve kuruluşların erişime kapatılmış oldukları kripto para birimi cüzdanlarını kurtarmalarına yardımcı olan bir girişim olan Unciphered’deki araştırmacılar, sorunu Ocak 2022’de böyle bir müşteriye yardım ederken keşfettiler com) üzerinde oluşturmuştu ancak şifresini kaybetmişti com, Bitgo, Dogechain

Unciphered’ın şifreyi kurtarma çabası başarısız oldu Şirket, saldırıya uğraması en kolay cüzdanların Mart 2012’den önce oluşturulmuş cüzdanlar olduğunu söyledi

Unciphered, “Bitcoin özel anahtarlarının 256 bit entropiyle oluşturulması gerekiyor; ne yazık ki, savunmasız BitcoinJS (veya bağımlı projeler) ile oluşturulan etkilenen anahtarlar genellikle gerekenden daha az entropi kullandı 2018 yılında “ketamin” tanıtıcısını kullanan bir güvenlik araştırmacısı şunu bildirmişti: birden fazla güvenlik açığı bulma SecureRandom()’da, BitcoinJS’deki sorunun kökenindeki işlev

“Entropi toplanması ve [random number generator] Her ikisi de anahtar materyalin orta düzeyde karmaşıklığa sahip bir üçüncü tarafça kurtarılabileceği derecede yetersizdir” diye uyarmıştı araştırmacı

BrainWallet, CoinPunk ve QuickCoin dahil olmak üzere, savunmasız BitcoinJS kütüphanesini kullanan projelerin birçoğu artık ortalıkta yok Araştırmacı, SecureRandom() işlevinin kriptografik anahtar materyali için gereken rastgeleleştirme derecesini etkinleştirmemesi nedeniyle birden fazla kripto para birimi ürününün saldırı riski altında olduğu konusunda uyarmıştı 2014 yılında Blockchain Ancak onu geri almanın bir yolunu bulma sürecinde şirketteki araştırmacılar, o zamandan beri “Randstorm” adını verdikleri BitcoinJS güvenlik açığını keşfettiler Keşiften bu yana geçen 22 ay içinde araştırmacılar, etkilenen kullanıcıları tehdit hakkında bilgilendirmek için Blockchain Genel olarak, kullanılan entropi bitlerinin sayısı arttıkça anahtar rastgeleleştirme derecesi de artar günümüzün tüm modern tarayıcıları kriptografik olarak güçlü rastgele sayılar üretmek için kullanılır