最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- Libbitcoin Explorer の乱数ジェネレータの欠陥により、120,000 個を超える Bitcoin 秘密鍵が公開され、複数のウォレット プラットフォームに影響を与えました。.
- この脆弱性は Mersenne Twister-32 アルゴリズムに関連しており、攻撃者はウォレットシードを予測し、秘密鍵を再構築することが可能でした。.
- OneKey は、国際暗号化標準を満たす認定された真乱数ジェネレーターを使用して、ウォレットが安全であることを確認しました。.
暗号ウォレットプロバイダーのOneKeyの報告によると、広く使用されているオープンソースのビット Bitcoin ライブラリで新たに発見された脆弱性により、12万以上の秘密鍵が公開されたという。.
この欠陥は、Libbitcoin Explorer (bx) 3.x シリーズに tracしており、攻撃者が安全でない乱数方式で生成されたウォレットの秘密鍵を予測できる状態となっていました。.
OneKeyが 公開した 金曜遅くにXでbitcoin を作成するために長年使用されてきたコマンドラインユーティリティである Bitcoin 。このソフトウェアは、システム時刻のみを使用して乱数を生成するメルセンヌ・ツイスター32擬似乱数発生器(PRNG)を使用している。
シード値空間は2³²通りの値に制限されていたため、ハッカーは乱数を容易に予測し、ウォレットの秘密鍵を総当たり攻撃することができました。ウォレットがいつ生成されたかを知っている人なら誰でも、同じ乱数列を再構成し、秘密鍵を導き出してアドレスの資金にアクセスできました。.
影響を受けるウォレットの範囲に関するOneKeyの分析
暗号ウォレットサービスプロバイダーによると、この問題は、Libbitcoin Explorerまたはそのdent コンポーネントを統合した複数のウォレット実装(Trust Wallet Extensionバージョン0.0.172から0.0.183、およびTrust Wallet Coreバージョン3.1.1まで、パッチ適用済みの3.1.1リリースを除く)に影響することが確認されています。.
OneKeyは、セキュリティ研究者による分析を引用し 、この セキュリティ上の欠陥 に起因する 器(PRNG)が予測可能なエントロピーに依存していることdentの秘密鍵を複製することができた。
Mersenne Twister-32 アルゴリズムのシード空間が小さく、予測可能な性質を持つため、悪意のある人物がプロセスを自動化し、複数のウォレットを侵害することが可能になりました。.
OneKeyは、この欠陥が、セキュリティのために隔離されたシステムを使用していたにもかかわらず、被害者がdentから資金が流出したと報告した「Milk Sad」事件などの過去の不可解な資金損失の一因となった可能性があると説明した。.
「ミルクサッド」のつながりはOneKeyウォレットには影響しなかった
今年初めに開始されたミルクサッドの調査により、被害者がLibbitcoin Explorerのコマンドを用いて、エアギャップ接続されたLinuxラップトップ上でウォレットを生成していたことが明らかになりました。いずれのケースでも、ユーザーはbxツールが十分なランダム性をもたらすと信じ、24語のBIP39ニーモニックフレーズを生成するためにbxを利用していました。.
ウォレット生成時に使用されたコマンドシーケンスの一つは、bx seed -b 256 | bx mnemonic-newでした。これは256ビットのエントロピーを生成し、それを24語のニーモニックフレーズに変換しました。しかし、乱数生成器に欠陥があったため、安全だと思われていたニーモニックは実際には予測可能でした。.
Milk Sad の被害者たちは何年も離れてウォレットを作成していたが、捜査員らはそれぞれが同じバージョンの Libbitcoin Explorer を使用していたことを発見した。このバージョンでは知らないうちに弱い秘密鍵が生成されていた。.
OneKeyは報告書の中で、 の脆弱性は、bitcoin Explorer ない 内のニーモニックキーや秘密鍵のセキュリティを損なうもの 。同社の調査により、デバイスとソフトウェアは国際的なセキュリティ基準を満たす暗号学的に安全な乱数発生器(RNG)を使用していることが確認されました。
「すべての新世代ハードウェアウォレットには、鍵生成用の真性乱数生成器(TRNG)を内蔵したセキュアエレメント(SE)が搭載されています。これらのコンポーネントはハードウェアベースで、世界的に認められているセキュリティレベルであるEAL6+認証を取得しています」と、ハードウェアおよびコールドウォレットを提供する企業は確認しました。.
ソフトウェアウォレットの脆弱性評価
OneKey は自社のソフトウェア製品の評価も実施し、デスクトップ バージョンとブラウザー拡張機能バージョンでは Chromium ベースの WebAssembly (WASM) PRNG インターフェースが利用されていることを指摘しました。.
インターフェイス オペレーティング システムは、エントロピー ソースとして、最新のブラウザーや安全なソフトウェア システムで使用されている標準と同じ、暗号化された安全な疑似乱数ジェネレーター (CSPRNG) を使用します。.
OneKeyは、AndroidおよびiOSウォレットには、オペレーティングシステム自体にシステムレベルのCSPRNG APIが組み込まれていると述べています。ウォレットサービスのセキュリティチームは、ウォレット生成におけるランダム性の品質は、デバイスとソフトウェア環境の整合性に直接依存することを改めて強調しました。.
「オペレーティングシステム、ブラウザカーネル、またはデバイスのハードウェアが侵害された場合、エントロピーソースが弱まる可能性があります」と記載されています。.
同社は、コインを長期保管する予定がある場合は、漏洩リスクを最小限に抑えるため、ハードウェアウォレットを選択するようユーザーに勧告している。また、ソフトウェアウォレットで生成されたニーモニックフレーズをハードウェアウォレットにインポートしないよう警告している。.
仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
フローレンス・ムチャイ
フローレンスは過去6年間、暗号通貨、ゲーム、テクノロジー、AI関連のニュースを取材してきました。メルー科学技術大学でコンピュータ科学を、メルー科学技術大学で災害管理と国際外交を専攻した経験は、彼女に語学力、観察力、そして技術力を十分に備えさせています。フローレンスはVAPグループで勤務したほか、複数の暗号通貨メディアで編集者として活躍してきました。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)