Уязвимость в библиотеке Libbitcoin Explorer 3.x, позволила злоумышленникам украсть более $900 000 у пользователей биткоинов (BTC). Об этом сообщила компания SlowMist.
По данным аналитиков, эта уязвимость может также затронуть пользователей Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash, которые используют Libbitcoin для создания учетных записей.
Последние события из мира криптовалют, аналитика и прогнозы — все самое интересное в нашем новостном Телеграм-канале. Подписывайтесь, чтобы не пропустить ничего важного.
Как утекали деньги пользователей биткоин-кошельков
У Libbitcoin Explorer появился ошибочный механизм генерации, который позволил злоумышленникам угадывать закрытые ключи кошельков пользователей. Они воспользовались этой уязвимостью, чтобы похитить криптоактивы на сумму более $900 000.
По итогам всего одной атаки пользователь потерял более 9,7441 BTC (около $286 190 на момент написания материала). В SlowMist утверждают, что они заблокировали адрес, подразумевая, что команда связалась с биржами, чтобы помешать злоумышленнику обналичить деньги. Также они добавили, что будут отслеживать этот адрес на случай, если активы переведут на другой кошелек.
Более того, лазейка для кражи денег остается при использовании команды «bx seed» для создания сид-фразы кошелька. Эта команда использует генератор псевдослучайных чисел Mersenne Twister (PRNG), инициализированный 32 битами системного времени. Иногда ему не хватает достаточной случайности, и в результате создается одно и то же начальное число для нескольких пользователей.
Уязвимость Trust Wallet лишила пользователей $170 000
Ранее разработчики криптокошелька Trust Wallet заявили об уязвимости в модуле WebAssembly (WASM), которая привела к потере $170 000. По их данным, модуль использовал неправильно настроенный генератор случайных чисел MT19937, который создавал псевдослучайные ключи.
Хакеры воспользовались этой лазейкой дважды и обчистили кошельки пользователей на $170 000. Однако проблема затронула только браузерные кошельки, созданные в период с 14 по 23 ноября 2022 года. Мобильные кошельки также не пострадали.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.