Биткоин кошельки могут быть взломаны через уязвимость в JavaScript

garryncha

Группа исследователей опубликовала предупреждение об уязвимости старых биткоин-адресов, которые генерировались через приложения для создания криптокошельков на JavaScript. Согласно проведенному исследованию, хакеры могут воспользоваться старой криптографической уязвимостью Java и украсть биткоины с адресов, которые генерировались с помощью SecureRandom функции на Javascript. При помощи брутфорс атаки киберпреступники могут завладеть приватными ключами, а значит, и биткоинами. Уязвимость связана с функцией JavaScript SecureRandom, которая использовалась ранее для генерации биткоин-адресов и ключей. Биткоин- адрес представляет из себя буквенно-цифровой код, устанавливающий назначение биткоин-платежа, как для адреса электронной почты. Ключ схож с паролем, поскольку математически привязан к адресу кошелька. Согласно заявлению одного из разработчиков Linux Foundation, функция SecureRandom, в действительности, выдает не полностью случайный набор символов. Об этой же уязвимости заявлял ранее Дэвид Джерард, Unix-эксперт из Великобритании. После этих замечаний тема стала широко обсуждаться в криптосообществе. Консенсус SecureRandom не является полностью случайным и характеризуется низким уровнем энтропии криптографических ключей, которые он генерируют. Энтропия характеризует степень непредсказуемости системы: чем больше энтропия, тем сложнее взломать код с помощью простого подбора. Согласно Джерарду, функция генерирует криптографические ключи с энтропией менее 48 бит, что делает приватный ключ уязвимым для брутфорс атак. Джерард отметил, что дискуссии по этой конкретной уязвимости ведутся на форуме Bitcointalk с 2013-го года. В то время некоторые онлайн-провайдеры биткоин-кошельков использовали функцию SecureRandom для генерации ключей. Джерард также сообщает, что многие адреса, сгенерированные с использованием сервиса BitAddress до 2013-го года или Bitcoinjs до 2014-го года, наиболее вероятно содержат описанную уязвимость. Джерард считает, что и современное ПО провайдеров биткоин-кошельков может содержать уязвимости, так как они могут использовать устаревшие коды с GitHub. По мнению эксперта, для взлома сгенерированных таким образом ключей потребуется около недели. Биткоин-ходлерам с такими адресами рекомендуется создать новые кошельки с помощью современных инструментов и перенести на них средства для предупреждения возможных брутфорс атак.

Информация с сайта: https://mining-cryptocurrency.ru/bitkoin-koshelki-uyazvimost-javascript/

casio

Ну думаю таких адресов уже не осталось. Так что рисковать и бояться как бы уже некому.

garryncha

Не факт. А информация к размышлению есть.

mik

Я тоже думаю, что сейчас причин взлома есть как минимум больше. Это всё очень как-то просто мне кажется. Кому нужно думать над уровнем безопасности?

okela

Участник @mik написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Я тоже думаю, что сейчас причин взлома есть как минимум больше. Это всё очень как-то просто мне кажется. Кому нужно думать над уровнем безопасности?

И какие-то весомые аргументы вашей точки зрения тоже имеются ?

Иван Колобанов

Хакеры не стоят на месте, на днях смогли даже к MyEtherWallet пристроиться, правда сломали не сам кошелек, а могли перенаправить часть пользователей с официального сайта на свою страницу

casio

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

okela

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

Совсем не понял каким образом вы думаете кошельки Сатоши откупорить можно ... :(

casio

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

Совсем не понял каким образом вы думаете кошельки Сатоши откупорить можно ... :(

Ну что тут, что у Сатоши нужно перебор включать. Лучше уже перебирать ключ сатоши. Толку больше будет думаю.

okela

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

Совсем не понял каким образом вы думаете кошельки Сатоши откупорить можно ... :(

Ну что тут, что у Сатоши нужно перебор включать. Лучше уже перебирать ключ сатоши. Толку больше будет думаю.

Совершенно бесполезное это занятие. Был-бы в этом какой-то сенс, то за 9 лет уже подобрали-бы ...

casio

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

Совсем не понял каким образом вы думаете кошельки Сатоши откупорить можно ... :(

Ну что тут, что у Сатоши нужно перебор включать. Лучше уже перебирать ключ сатоши. Толку больше будет думаю.

Совершенно бесполезное это занятие. Был-бы в этом какой-то сенс, то за 9 лет уже подобрали-бы ...

Да я понимаю что смысла нет. Но думаю иногда попробывать можно . Особенно после вот таких новостей, как эта.

okela

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну тут тоже бояться особо нечего. Нужно перебор большой сделать. Я бы на месте хакеров кошельки сатоши бы пыталась бы откупорить.

Совсем не понял каким образом вы думаете кошельки Сатоши откупорить можно ... :(

Ну что тут, что у Сатоши нужно перебор включать. Лучше уже перебирать ключ сатоши. Толку больше будет думаю.

Совершенно бесполезное это занятие. Был-бы в этом какой-то сенс, то за 9 лет уже подобрали-бы ...

Да я понимаю что смысла нет. Но думаю иногда попробывать можно . Особенно после вот таких новостей, как эта.

Ну так в этой статье речь шла об онлайн-кошельках пятилетней давности, которые теоретически имеют некоторую уязвимость. Не думаю что Сатоши пользовался для хранения таким кошельком.

casio

Ну в то время все крипто функции были с дырой. а зная время создания кошелька, думаю можно попробывать его копию создать.

okela

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну в то время все крипто функции были с дырой. а зная время создания кошелька, думаю можно попробывать его копию создать.

Я вот не уверен в том, что тогда все крипто-функции были с этой дырой. Тем более, что в статье делается упор на JavaScript, с которым программные клиенты-кошельки никак не связаны.

casio

Участник @okela написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Участник @casio написал в Биткоин кошельки могут быть взломаны через уязвимость в JavaScript:

Ну в то время все крипто функции были с дырой. а зная время создания кошелька, думаю можно попробывать его копию создать.

Я вот не уверен в том, что тогда все крипто-функции были с этой дырой. Тем более, что в статье делается упор на JavaScript, с которым программные клиенты-кошельки никак не связаны.

Ну кому будет интересно изучит этот вопрос.