Uma vulnerabilidade recém-descoberta na biblioteca Libbitcoin Explorer 3.x permitiu que mais de US$ 900.000 fossem roubados de usuários de Bitcoin, de acordo com um relatório da empresa de segurança de redes blockchain SlowMist. A vulnerabilidade também pode afetar usuários de Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash e Zcash que usam o Libbitcoin para gerar endereços.

Alerta de segurança da SlowMist

Recentemente, a #Distrust descobriu uma vulnerabilidade grave que afeta as carteiras de criptomoedas que usam as versões 3.x do #Libbitcoin Explorer. Essa vulnerabilidade permite que os invasores acessem as chaves privadas das carteiras explorando o algoritmo pseudo-aleatório Mersenne Twister...

— SlowMist (@SlowMist_Team)

O Libbitcoin é uma implementação de carteira de Bitcoin que desenvolvedores e validadores podem usar para criar contas de Bitcoin (BTC) e outras criptomoedas. De acordo com seu site oficial, ela é usada por "Airbitz (carteira móvel), Bitprim (interface de desenvolvedor), Blockchain Commons (identidade de carteira descentralizada), Cancoin (exchange descentralizada)" e outros aplicativos. A SlowMist não especificou quais aplicativos que usam Libbitcoin podem ser afetados pela vulnerabilidade.

A SlowMist identificou a equipe de segurança cibernética "Distrust" como aqueles que originalmente identificaram a brecha, que é chamada de vulnerabilidade "Milk Sad". Ela foi relatada ao banco de dados de vulnerabilidades de segurança cibernética da CEV em 7 de agosto.

De acordo com a postagem, o Libbitcoin Explorer tem um mecanismo de geração de chaves defeituoso, permitindo que chaves privadas sejam adivinhadas por invasores. Como resultado, os invasores exploraram essa vulnerabilidade para roubar mais de US$ 900.000 em criptogmoedas até 10 de agosto.

A SlowMist enfatizou que um ataque em particular desviou mais de 9,7441 BTC (aproximadamente US$ 278.318). A empresa afirma ter "bloqueado" o endereço, o que implica que a equipe entrou em contato com exchanges para impedir que o invasor sacasse os fundos. A equipe também afirmou que estará monitorando o endereço caso os fundos sejam transferidos para outro lugar.

Quatro membros da equipe da Distrust, juntamente com oito consultores de segurança autônomos que afirmam ter ajudado a descobrir a vulnerabilidade, criaram um site informativo explicando a vulnerabilidade. A brecha é criada quando os usuários empregam o comando "bx seed" para gerar uma frase semente de carteira. Esse comando "usa o gerador de números pseudoaleatórios (PRNG) Mersenne Twister inicializado com 32 bits de tempo do sistema", que não tem aleatoriedade suficiente e, portanto, às vezes produz a mesma frase semente para várias pessoas.

Comando de frase semente Bx produzindo a mesma frase duas vezes. Fonte: Site de informações do Milk Sad

Os pesquisadores afirmam ter descoberto a vulnerabilidade quando foram contatados por um usuário do Libbitcoin cujo Bitcoin havia desaparecido misteriosamente em 21 de julho. Quando o usuário entrou em contato com outros usuários do Libbitcoin para tentar tentar descobrir como o BTC poderia ter desaparecido, ele descobriu que outros usuários também estavam tendo seu BTC desviado.

O Cointelegraph entrou em contato com o membro do Libbitcoin Institute, Eric Voskuil, para comentar o assunto. Em resposta, Voskuil afirmou que o comando bx seed "é fornecido como uma conveniência para quando a ferramenta é usada para demonstrar um comportamento que requer entropia" e não se destina a ser usado em carteiras de produção. "Se as pessoas de fato o utilizaram para a produção de chaves privadas (em oposição ao lançamento de dados, por exemplo), então o aviso é insuficiente", afirmou Voskuil. Nesse caso, "provavelmente faremos alguma alteração nos próximos dias para reforçar o aviso contra o uso da função ou removeremos o comando por completo."

As vulnerabilidades de carteiras de criptomoedas continuam a representar um problema sério para os usuários de criptomoedas em 2023. Mais de US$ 100 milhões foram perdidos em uma invasão da Atomic Wallet, que foi reconhecida pelos desenvolvedores do aplicativo em 22 de junho. A plataforma de certificação de segurança cibernética CER divulgou sua classificação de segurança de carteiras em julho, observando que apenas seis dos 45 provedores de carteiras digitais de criptomoedas empregam testes de penetração para descobrir vulnerabilidades.

LEIA MAIS