Хакеры украли свыше $900 000 через уязвимость утилиты для биткоин-кошельков

[solomonfinik]

«Если вы создали кошелек с помощью Bitcoin Explorer от Libbitcoin, ваши средства находятся под угрозой (или уже украдены)», — отметил технический эксперт Дэвид Хардинг.

Эксперты компании Distrust обнаружили критическую уязвимость в консольной утилите Libbitcoin Explorer для криптовалютных кошельков, которая позволяет злоумышленникам получать доступ к сид-фразам и похищать средства. По состоянию на август ущерб от ее эксплуатации оценивается более чем в $900 000.

Libbitcoin Explorer устраняет необходимость доступа к полной ноде блокчейна биткоина для проведения различных операций, включая генерацию закрытых ключей и управление транзакциями.


Биткоин-адрес, помеченный платформой MistTrack как высокорисковый. Данные: X.
Найденный баг затрагивает с 3.0.0 по 3.6.0 версии утилиты и связан с генератором псевдослучайных чисел (PRNG).

Как пояснили исследователи Антон Ливаджа и Райан Хейвуд, для генерации случайных чисел при создании биткоин-кошелька Libbitcoin Explorer использует команду «bx seed». Однако если инструмент опирается на слабый алгоритм, безопасность энтропии сокращается с 256 до 32 бит. Это позволяет злоумышленникам потенциально взломать закрытые ключи пользователей в течение нескольких дней.



Согласно выводам исследователей, основная кража произошла примерно 12 июля 2023 года, но первоначальные взломы, вероятно, начались в мае. По состоянию на август украдены свыше $900 000 в биткоине, Ethereum, XRP, Dogecoin, Solana, Litecoin, Bitcoin Cash и Zcash. Ответственного за кражи со взломанных кошельков установить пока не удалось.

Список потенциально подверженных уязвимости биткоин-кошельков не публиковался, хотя и упоминается, что их общее число может превышать 2600 единиц. По словам экспертов, MetaMask, Ledger и Trezor не были затронуты.

Команда Libbitcoin оспорила выводы исследователей, ссылаясь на то, что пользователи не должны были прибегать к команде «bx seed», поскольку во многих документах она помечается как неподходящая для безопасного создания кошелька.

Пользователям уязвимых версий Libbitcoin Explorer настоятельно рекомендовали перевести средства на безопасные адреса, используя проверенный метод генерации случайных чисел для создания кошельков.

source:
milksad.info/index.html
twitter.com/hrdng/status/1689022029142560771
twitter.com/tayvano_/status/1689599497616388096
milksad.info/disclosure.html#libbitcoin-vendor-response
Последнее редактирование модератором: 10.08.2023

 

[Theriella]

Они и не скажут затронули или не затронули, лишь тогда когда пойдут комментарии про кражу у юзеров, тогда уже и напишут. А так если и было, но не спалили - то пофиксили / пофиксят просто. Владельцы валетов те ещё пиз*аболы , особенно леджер, смешно как его тоже многие защищают и советуют для хранения битка.

Bitcoin Core в разы безопаснее, очень сильно топят за леджер некоторые юзеры )) в принципе можете тестировать на своей безопасности, а потом при краже активов скажите , что было лучше

 

[solomonfinik]

Theriella сказал(а):
Они и не скажут затронули или не затронули, лишь тогда когда пойдут комментарии про кражу у юзеров, тогда уже и напишут. А так если и было, но не спалили - то пофиксили / пофиксят просто. Владельцы валетов те ещё пиз*аболы , особенно леджер, смешно как его тоже многие защищают и советуют для хранения битка.

а нам как нормальным пацанам это обнаружить можно? заранее, пока хакеры эти ебанные вот эти вот все не попиздили наши честно заработанные криптогроши

В настоящее время Electrum использует тот же список слов, что и BIP39 (2048 слов). А типичное начальное число состоит из 12 слов, что приводит к 132 битам энтропии в выбор семени.

Запишите 12 слов восстановления (исходная фраза-мнемоника) в правильном порядке и сохраните их в надежном месте. Вы должны использовать эту seed-фразу вместе с паролем для восстановления своего кошелька (используя Wasabi или другой BIP 39). совместимый кошелек).
Wasabi использует BIP 38: закрытый ключ, защищенный паролем

я тут вообще не пойму бля
тут вроде оно у низ запутано перепутано, а у LE оно без всякого шифрования было, просто 12 слов бля или как

 

[Vinki]

Theriella сказал(а):
очень сильно топят за леджер некоторые юзеры

"Весит на шее с красной ниточкой"

 

[solomonfinik]

Vinki сказал(а):
"Весит на шее с красной ниточкой"

это было бля еще в июле вот, а пишут только сейчас за этот пиздец, когда у челиков уже 900к минимум украли в бтк я в ахуе
и сами LE пишут мол это не ошибка, все ок, юзеры виноваты

 

[Vinki]

solomonfinik сказал(а):
это было бля еще в июле вот, а пишут только сейчас за этот пиздец, когда у челиков уже 900к минимум украли в бтк я в ахуе

Ага. А ты думал что они прибегут к тебе и скажут - "вот дружище, ломанули нас, забирай свои бабки пока можешь!" ))

 

[solomonfinik]

Vinki сказал(а):
Ага. А ты думал что они прибегут к тебе и скажут - "вот дружище, ломанули нас, забирай свои бабки пока можешь!" ))

так ломанули типа не их, а просто протокольную х#йню их кривую
они пишут, типа проблемы юзера и похуй у них все ок работает

 

[Vinki]

solomonfinik сказал(а):
electrum wasabi

solomonfinik сказал(а):
так ломанули типа не их, а просто протокольную х#йню их кривую
они пишут, типа проблемы юзера и похуй у них все ок работает

на эти кошели не так похуй, как на экзодус. Если это так, то ждем пока у здешнего пере-сидельца миллиардера угонят бабло и он об этом заявит

"Пользователям уязвимых версий Libbitcoin Explorer настоятельно рекомендовали перевести средства на безопасные адреса, используя проверенный метод генерации случайных чисел для создания кошельков." Ну так все верно, угнали у клиентов же. Или мне пора отдыхать?

 

[solomonfinik]

Vinki сказал(а):
Ну так все верно, угнали у клиентов же. Или мне пора отдыхать?

а LE это биржа оффициальная с обязательствами или какая-то х#йня опенсорсная я думаю второе бля и им вообще похуй на все должно быть, у них там в бумажках все ворк
когда там электрум через апдейты ломали им тоже похуй было, просто апдейт выпустили и все а тогда украли пздц нихуево

они как бы не пишут за другие кошели, фокус на LE берут, но хз

Milk Sad: /summary
milksad.info

«Если вы создали кошелек с помощью Bitcoin Explorer от Libbitcoin, ваши средства находятся под угрозой (или уже украдены)», — отметил технический эксперт Дэвид Хардинг.

 

[Vinki]

solomonfinik сказал(а):
а LE это биржа оффициальная с обязательствами или какая-то х#йня опенсорсная

Уже закрытая

https://github.com/spesmilo/libbitcoin

 

[solomonfinik]

Vinki сказал(а):
Посмотреть вложение 63093
Уже закрытая

https://github.com/spesmilo/libbitcoin

вот их вроде актуал https://github.com/libbitcoin/libbitcoin-explorer/tree/version3 и https://libbitcoin.info/
и ссылаются иксперты на эту х#йню еще https://github.com/BWallet
я надеюсь бля это сугубо локальная х#йня но там пишут они что у траст валета что то такое было давно
мне интересно еще где-то LE юзается или нет и есть сам еще что украсть можно или уже все еще в июле

 

[Vinki]

solomonfinik сказал(а):
вот их вроде актуал https://github.com/libbitcoin/libbitcoin-explorer/tree/version3 и https://libbitcoin.info/
и ссылаются иксперты на эту х#йню еще https://github.com/BWallet
я надеюсь бля это сугубо локальная х#йня но там пишут они что у траст валета что то такое было давно
мне интересно еще где-то LE юзается или нет и есть сам еще что украсть можно или уже все еще в июле

libbitcoin
libbitcoin
bitcointalk.org
странно, но указан этот гит

UPD: все, вижу
Documentation reference for bs command

 

[solomonfinik]

https://github.com/libbitcoin/libbitcoin-system и этот есть еще ну из гугла хз короче похуй
там у них в кентах посмотри висят какие-то мелкие проекты я думаю х#й бы кто юзал их код в чем-то крупном
и посмотри еще там разбирают, мол оно генерит 1 сид в одно и тоже время если быстро сгенерить одновременно я нихуя не понял, там есть разбор атак вроде и можно взять фразу ее в сша256 и грузануть икспертам оно выдаст найдено или не найдено, мне интересно там еще чет есть или уже все выдрочили в июле
https://milksad.info/lookup.html можно попробовать ботом наебашить им
Последнее редактирование: 10.08.2023

 

[alex778]

Libbitcoin - я лично сталкивался с этой штукой, заставить работать для моих нужд не смог. Проект очень проблемный, написал его какой-то арабский гений из разрушенных црушной арабской весной стран, тусующийся по бомжарням в Европе. Хактивист. Откуда могут взяться живые кошельки с деньгами, сгенерированные этой утилитой, я просто не представляю. Разве что изначально их кто-то делал с целью потом украсть с них деньги.

 

[DAO]

alex778 сказал(а):
Libbitcoin - я лично сталкивался с этой штукой, заставить работать для моих нужд не смог. Проект очень проблемный, написал его какой-то арабский гений из разрушенных црушной арабской весной стран, тусующийся по бомжарням в Европе. Хактивист. Откуда могут взяться живые кошельки с деньгами, сгенерированные этой утилитой, я просто не представляю. Разве что изначально их кто-то делал с целью потом украсть с них деньги.

Тоже задался этим вопросом

 

[TM013]

"Libbitcoin Explorer настоятельно рекомендовали перевести средства на безопасные адреса"
И тут появляется море возможностей для увода крипты у хомячков для соц. инженеров...)))