Varovanie pred kritickou zraniteľnosťou Randstorm v kryptopeňaženkách
Nedávna správa bezpečnostnej firmy na blockchain Unciphered odhalila kritickú zraniteľnosť nazvanú „Randstorm“, ktorá ohrozuje kryptomenové peňaženky vytvorené medzi rokmi 2011 a 2015. Umožňuje obnoviť heslá a získať neoprávnený prístup k množstvu peňaženiek na niekoľkých blockchainových platformách. Správa odhalila, že Randstorm by mohol ovplyvniť niekoľko blockchainových projektov v odvetví kryptomien vrátane Bitcoin, Dogecoin, Litecoin a ZCash.
Podstata zraniteľnosti Randstorm spočíva v knižnici Bitcoin JS, široko používanej JavaScriptovej knižnici na generovanie krypto peňaženiek. Práve táto knižnica obsahovala zraniteľný open-source kód z projektu Stanford University, čo viedlo k nedostatočnej náhodnosti pri generovaní kryptografických kľúčov. Slabina v generovaní náhodných čísel, ktorá je kľúčová pre bezpečnosť peňaženiek, vyplýva zo závislosti knižnice na funkcii SecureRandom() a vtedajšej implementácii Math.random() vo webových prehliadačoch. Tieto faktory spolu vytvorili scenár, v ktorom mohli byť kryptografické kľúče peňaženiek ľahšie dešifrované.
Odhaduje sa, že v ohrození je približne 1,4 milióna bitcoinov. Hoci sa v knižnici BitcoinJS prestal používať zraniteľný kód v marci 2014, toto riziko pretrváva pre peňaženky vygenerované pred touto zmenou. Najľahšie na prelomenie sú tie peňaženky, ktoré boli vygenerované pred marcom 2012. Používatelia si môžu overiť, či sú ich peňaženky zraniteľné na adrese www.keybleed.com.
Objavenie zraniteľnosti bolo súčasťou procesu zahŕňajúceho koordinované zverejnenia so zasiahnutými stranami a rozsiahlu analýzu, aby sa zabránilo zverejneniu informácie o zraniteľnosti, ktorú by mohli využiť potencionálni útočníci. Firma Unciphered sa obrátila na dodávateľov a blockchainové platformy, aby ich varovala pred zraniteľnosťou. V dôsledku toho bolo viac ako milión používateľov upozornených na potenciálne riziko pre ich peňaženky. Firma zdôrazňuje potrebu, aby používatelia zasiahnutých peňaženiek presunuli svoje aktíva do nových peňaženiek vygenerovaných s aktualizovaným, bezpečným softvérom.
Odhalenie zraniteľnosti Randstorm upozorňuje na širšiu problematiku bezpečnosti softvérového dodávateľského reťazca, najmä pokiaľ ide o závislosť na open-source softvéroch a knižniciach a na to, ako zraniteľnosti v takýchto základných knižniciach môžu byť hrozbou pre dodávateľský reťazec, ako to už bolo odhalené v prípade Apache Log4j koncom roka 2021.
Zdroje:
https://thehackernews.com/2023/11/randstorm-exploit-bitcoin-wallets.html?m=1.
https://www.ibtimes.com/experts-warn-21b-risk-due-vulnerabilities-obsolete-crypto-wallets-3718605.
« Späť na zoznam