2011 年,就在比特币推出两年后,英国-伊朗无政府主义开发商 Amir Taakia 和一群开源程序员创建了 Bitcoin Core 的替代方案——这是连接比特币网络的原始且仍然是最流行的方式。
这款名为 Libbitcoin 的替代软件现已发展成为一套全面的工具(一个库),用于实现与比特币区块链通信和生成加密密钥等关键功能。
它甚至出现在比特币教育家安德烈亚斯·安东诺普洛斯(Andreas Antonopoulos)的流行且能够说是规范的书《掌握比特币》中。
但过去几个月,大约 90 万美元从各个用户钱包中消失后,一度被认为安全的 Libbitcoin 被证明是不安全的。
根据一份报告,最新的传奇故事是这样展开的,该报告详细的介绍了Distrust的调查的最终结果,这家安全公司于 7 月在一组独立贡献者的协助下发现了该漏洞。
5 月份的某个时候,黑客在 Libbitcoin 浏览器(称为BX)生成的多个钱包中发现了一个不起眼的漏洞后,开始秘密从毫无戒心的用户那里窃取资金。
报告称,该漏洞被称为“Milk Sad”,因为“milk”和“sad”是该漏洞生成的钱包恢复助记词中的前两个单词。
最严重的盗窃案发生在 7 月 12 日,共有 29.65 个比特币 (BTC),按当前汇率计算,价值约 87 万美元。Distrust 表示,多个区块链上总共至少有 90 万美元被盗,这中间还包括受该漏洞影响的大约 2,600 个比特币钱包中的一些。
根据Anton Livaja 8 月 8 日的推文,Trezor 和 Ledger 等硬件钱包似乎毫发无伤,但仍有许多钱包面临风险,而且被盗资金的全部范围“尚未确定”。不信任团队的成员。
BX 附带一个名为“bx seed”的文本命令,它使用研发人员计算机上的时钟来生成用于创建钱包的种子短语。
加密软件为那些希望在意外丢失的情况下“恢复”或重新获得钱包访问权限的用户更好的提供 12 至 24 个单词或助记词的随机组合。
但当使用 BX 时,结果短语的随机性不够。根据该报告,“一台像样的游戏电脑能够直接进行强力搜索”,或者猜测用户种子短语的所有可能的单词组合,“在不到一天的时间内”。
报告指出:“可以将其视为使用密码管理器来保护您的网上银行帐户,该密码管理器会创建一个长随机密码。”“但它通常会为每个用户创建相同的密码。恶意的人已经发现了这一点,并从他们能找到的任何账户上抽走了资金。”
Milk Sad 并不局限于比特币。以太坊、Zcash、Solana 甚至狗狗币都在受影响的八个区块链之列。Cake Wallet和Trust Wallet这两个多链钱包应用程序中也检测到了类似但不相同的漏洞。
通常,种子短语是使用能够生成一组或“密钥空间”的生成器创建的,其中包含令人眼花缭乱的独特单词组合,由二进制数字或“位”的指数表示 - 本质上是数字 2 的幂128、192 或 256。
BX 的 32 位密钥空间微不足道,只能产生大约 43 亿个唯一的单词组合。报告称,“这并不像听起来那么多种组合”。
BX 的首席研发人员 Eric Voskuil 承认种子生成器确实不安全,但坚称软件中没有错误,认为 bx 种子文本命令被滥用了。他在推特上发布了该应用程序 GitHub 文档的屏幕截图,警告研发人员注意该漏洞。
“这不是 BX 或 Libbitcoin 的错误,”Voskuil发推文说。“这是鲁莽的钱包开发。”
比特币基础设施公司 Blockstream 的密码学家蒂姆·鲁芬 (Tim Ruffing) 在推特上写道:“案件很清楚。”“这是你的错误,就这样。”
400-677-3888
