120.000 chiavi private Bitcoin violate in un nuovo attacco hacker

Secondo un rapporto del fornitore di portafogli crittografici OneKey, una vulnerabilità recentemente scoperta in una libreria Bitcoin open source ampiamente utilizzata ha portato all'esposizione di oltre 120.000 chiavi private.

La falla è stata tracrisalire alla serie Libbitcoin Explorer (bx) 3.x, che consentiva agli aggressori di prevedere le chiavi private dei portafogli generate tramite metodi di numeri casuali non sicuri.

Secondo un'analisi di OneKey pubblicata su X venerdì scorso, LibbitcoinBitcoinBitcoin BitcoinBitcoinBitcoinBitcoin BitcoinBitcoin offline. Il software utilizza il generatore di numeri pseudo-casuali (PRNG) Mersenne Twister-32, che inizializza la casualità utilizzando solo l'ora di sistema. 

Lo spazio seed era limitato a 2³² possibili valori, il che ha aiutato gli hacker a prevedere facilmente i numeri casuali e le chiavi private del portafoglio tramite attacchi brute force. Chiunque sapesse quando era stato generato un portafoglio poteva ricostruire la stessa sequenza di numeri casuali e, a sua volta, ricavare la chiave privata per accedere ai fondi di un indirizzo. 

Analisi OneKey sull'entità dei portafogli interessati

Secondo il fornitore del servizio di portafoglio crittografico, è stato confermato che il problema riguarda diverse implementazioni di portafoglio che integrano Libbitcoin Explorer o i suoi componentident , tra cui le versioni di Trust Wallet Extension dalla 0.0.172 alla 0.0.183 e le versioni di Trust Wallet Core fino alla 3.1.1, ad eccezione della versione 3.1.1 con patch.

OneKey, citando un'analisi di ricercatori nel campo della sicurezza, ha scoperto che la falla di sicurezza derivava dalla dipendenza del generatore di numeri pseudo-casuali (PRNG) dall'entropia prevedibile. Gli aggressori potevano riprodurredentper portafogli generati in specifici istanti temporali. 

Il ridotto spazio seed e la natura prevedibile dell'algoritmo Mersenne Twister-32 hanno reso possibile per gli autori di attacchi automatizzare il processo e compromettere diversi portafogli.

OneKey ha spiegato che la falla potrebbe aver contribuito a precedenti misteriose perdite di fondi indentcome il caso "Milk Sad", in cui le vittime hanno riferito di aver visto i loro portafogli svuotati, nonostante l'utilizzo di sistemi air-gapped per la sicurezza.

La connessione "Milk Sad" non ha influenzato i portafogli OneKey

L'indagine Milk Sad, iniziata all'inizio di quest'anno, ha rivelato che le vittime avevano generato i propri wallet su laptop Linux air-gapped utilizzando comandi di Libbitcoin Explorer. In ogni caso, gli utenti si affidavano a bx per produrre le loro frasi mnemoniche BIP39 di 24 parole, nella convinzione che lo strumento rendesse sufficiente la casualità.

Una sequenza di comandi utilizzata durante la generazione del portafoglio era bx seed -b 256 | bx mnemonic-new. Generava 256 bit di entropia, che venivano poi convertiti in una frase mnemonica di 24 parole. A causa del difetto del generatore di numeri casuali, la mnemonica, presumibilmente sicura, era in realtà prevedibile.

Sebbene le vittime di Milk Sad avessero creato i loro portafogli a distanza di anni, gli investigatori hanno scoperto che ciascuna utilizzava la stessa versione di Libbitcoin Explorer, che generava inconsapevolmente chiavi private deboli.

Nel suo rapporto, OneKey ha affermato che la vulnerabilità in Libbitcoin Explorer non compromette la sicurezza delle chiavi mnemoniche o private presenti nei suoi wallet. L'indagine dell'azienda ha confermato che i suoi dispositivi e software utilizzano un generatore di numeri casuali (RNG) crittograficamente sicuro che soddisfa gli standard di sicurezza internazionali.

"Tutti i portafogli hardware di nuova generazione sono dotati di Secure Elements (SE) con generatori di numeri casuali reali (TRNG) integrati per la creazione delle chiavi. I componenti sono basati su hardware e possiedono la certificazione EAL6+, livelli di sicurezza riconosciuti a livello globale", ha confermato l'azienda produttrice di hardware e cold wallet.

Valutazione della vulnerabilità del portafoglio software

OneKey ha inoltre condotto una valutazione dei suoi prodotti software, rilevando che le versioni Desktop e Browser Extension utilizzano un'interfaccia PRNG WASM (WebAssembly) basata su Chromium. 

Il sistema operativo dell'interfaccia utilizza un generatore di numeri pseudo-casuali crittograficamente sicuro (CSPRNG) come sorgente di entropia, che è lo stesso standard utilizzato nei browser moderni e nei sistemi software sicuri.

OneKey ha affermato che i suoi wallet Android e iOS dispongono di API CSPRNG a livello di sistema integrate nei sistemi operativi stessi. Il team di sicurezza del servizio wallet ha ribadito che la casualità nella generazione dei wallet dipende direttamente dall'integrità del dispositivo e dell'ambiente software. 

"Se il sistema operativo, il kernel del browser o l'hardware del dispositivo vengono compromessi, la fonte di entropia potrebbe essere indebolita", ha scritto.

L'azienda ha consigliato agli utenti di scegliere portafogli hardware se intendono conservare le proprie monete a lungo termine, per ridurre al minimo il rischio di esposizione. Ha inoltre sconsigliato di importare frasi mnemoniche generate dai portafogli software nei portafogli hardware.