Биткоин-кошельки, созданные с помощью инструмента командной строки Libbitcoin Explorer, скомпрометированы из-за неправильных случайных чисел. Они очень небезопасны из-за криптографически плохо реализованного генератора случайных чисел и должны быть очищены как можно скорее. Libbitcoin Explorer, более известный под аббревиатурой bx, представляет собой удобный инструмент командной строки со всевозможными функциями для управления биткоин-ключом и кошельком. Эта система включает в себя возможность использования команды bx seed для создания предположительно безопасного нового кошелька с 12 или 24 словами восстановления.
Напомним, в данный момент эксперты рекомендуют использовать для хранения криптовалют криптокошелек ledger. Ну а купить цифровые монеты для него выгоднее всего на бирже Binance.
Libbitcoin Explorer наиболее известен своим упоминанием в технической книге о биткоине Mastering Bitcoin. Целое приложение посвящено тому, как работает инструмент и как им пользоваться.
Авторы окрестили свою уязвимость довольно нестандартным, но все же подходящим названием Milk Sad. Потому что, если вы создаете новый кошелек с помощью Libbitcoin Explorer с нулевым системным временем, то каждый раз получаете одну и ту же мнемонику с фразой milk sad.
Причиной этого является использование криптографически небезопасного генератора псевдослучайных чисел (PRNG). В отличие от того, что было первоначально описано в Mastering Bitcoin, инструмент bx использует не случайные числа, предоставляемые операционной системой, которые обычно обеспечивают достаточно хорошее качество, а скорее PRNG Mersenne Twister, который принимает только системное время в качестве входного значения и использует его для генерации «случайных» чисел, которые, конечно, не являются случайными.
Говорят, что затронуты версии от 3.0.0, то есть примерно с 2017 года, хотя более ранние версии также оказались небезопасными в определенных системных средах.
Поэтому пользователям кошелька, созданного с помощью Libbitcoin Explorer, настоятельно рекомендуется вывести из него свои биткоины и доставить их в безопасное место, тот же кошелек ledger, если они еще этого не сделали. Надежными площадками для покупки монет считаются Bybit и Huobi. Напомним, российские пользователи криптовалют найдут самые актуальные сервисы для обмена электронных денег на портале bestchange.
Помимо уязвимости Milk Sad, которая, вероятно, затрагивает относительно небольшое число пользователей, можно сделать важный вывод: использование «офлайн-компьютера», который используется специально для создания предположительно безопасного биткоин-кошелька, не является гарантией безопасности. Даже с активно поддерживаемой библиотекой с открытым исходным кодом, такой как Libbitcoin, могут возникнуть серьезные ошибки реализации. У простого пользователя обычно нет шансов что-то заметить, поэтому так называемые программы Bug Bounty чрезвычайно важны, особенно в области открытого исходного кода.
Безопасность никогда не может быть идеальной, даже с аппаратным кошельком.