Une vulnérabilité dans la bibliothèque Libbitcoin Explorer 3.x a conduit au vol de plus de 900,000 XNUMX $ aux utilisateurs de Bitcoin.
La société de sécurité Blockchain SlowMist a signalé le problème.
Cela pourrait également affecter les utilisateurs d'autres devises numériques comme Ethereum (ETH), Ripple (XRP), Dogecoin (DOGE), Solana (SOL), Litecoin (LTC), Bitcoin Cash (BCH) et Zcash qui utilisent Libbitcoin pour créer des comptes.
Libbitcoin est une implémentation de portefeuille Bitcoin utilisée par diverses applications, notamment Airbitz, Bitprim, Blockchain Commons et Cancoin. SlowMist n'a pas précisé quelles applications sont affectées par la vulnérabilité.
La vulnérabilité, connue sous le nom de "Milk Sad", a été découverte pour la première fois par l'équipe de cybersécurité "Distrust" et signalée à la base de données de vulnérabilités de cybersécurité CEV le 7 août. Elle implique un mécanisme de génération de clé défectueux dans Libbitcoin Explorer, qui permet aux attaquants de devinez les clés privées.
Les attaquants ont exploité cette vulnérabilité pour voler plus de 900,000 278,318 $ de crypto, y compris une seule attaque qui a siphonné plus de XNUMX XNUMX $
SlowMist prétend avoir "bloqué" l'adresse, ce qui implique qu'ils ont contacté les échanges pour empêcher l'attaquant d'encaisser les fonds. Ils surveilleront également l'adresse au cas où des fonds seraient déplacés ailleurs.
L'équipe Distrust et huit consultants en sécurité indépendants ont mis en place un site Web d'information expliquant la vulnérabilité. Ils ont découvert que la vulnérabilité se produit lorsque les utilisateurs génèrent une graine de portefeuille à l'aide de la commande "bx seed", qui manque de caractère aléatoire suffisant et peut produire la même graine pour plusieurs utilisateurs.
La vulnérabilité a été découverte lorsqu'un utilisateur de Libbitcoin a signalé la disparition de BTC le 21 juillet. Des recherches supplémentaires ont montré que d'autres utilisateurs se faisaient voler leur Bitcoin de la même manière.
Eric Voskuil, membre de l'Institut Libbitcoin, a déclaré que la commande "bx seed" n'est pas destinée aux portefeuilles de production et que des modifications peuvent être apportées pour renforcer l'avertissement contre son utilisation ou supprimer complètement la commande.
Les vulnérabilités du portefeuille restent un problème pour les utilisateurs de crypto en 2023, avec plus de 100 millions de dollars perdus dans un piratage du portefeuille atomique en juin. Selon le classement de la sécurité des portefeuilles publié par le CER en juillet, seules six des 45 marques de portefeuilles utilisent des tests de pénétration pour découvrir les vulnérabilités.
Source : https://crypto.news/libbitcoin-vulnerability-leads-to-900k-theft-from-bitcoin-wallets/