Mogelijk miljarden aan crypto in gevaar door kwetsbaarheid in BitcoinJS wallet
- 5 minute read
Er is een grote kwetsbaarheid gevonden in de software van een Bitcoin portemonnee, waardoor mogelijk miljarden aan tegoeden gevaar lopen.
Korte samenvatting:
- Er is een ernstig beveiligingslek ontdekt in de software wallet van BitcoinJS. Dit lek heeft betrekking op de SecureRandom-functie in de JSBN-bibliotheek en wordt versterkt door zwakheden in de Math.random-implementaties van grote browsers.
- Vooral vroege Bitcoin-gebruikers die tussen 2011 en 2015 een wallet hebben aangemaakt, lopen risico. Het rapport suggereert dat miljoenen wallets potentieel kwetsbaar zijn voor misbruik. De onderzoekers schatten dat de potentiële schade door kwaadwillenden in de miljarden euro's kan lopen.
- Na een onderzoek van 22 maanden heeft Unciphered gebruikers op de hoogte gebracht van de kwetsbaarheid en hen geadviseerd om hun fondsen over te zetten naar een vertrouwde software wallet.
Inhoudsopgave
- Tegoeden van miljoenen gebruikers in gevaar
- Fout herkend dankzij een gebruiker die geen toegang meer had tot zijn wallet
- Kwetsbaarheid kan domino-effect veroorzaken
Tegoeden van miljoenen gebruikers in gevaar
Er is een cruciaal lek gevonden in de software wallet van BitcoinJS . Vooral vroege Bitcoin-gebruikers moeten oppassen en krijgen het advies om hun tegoeden naar andere wallets te verplaatsen. De kwetsbaarheid treft gebruikers die tussen 2011 en 2015 een wallet hebben aangemaakt. Volgens een 22 maanden durend onderzoek door Unciphered is er namelijk een kwetsbaarheid gevonden in de SecureRandom-functie in de javascriptbibliotheek van JSBN. Deze kwetsbaarheid wordt versterkt door zwakheden in de Math.random implementaties van grote browsers, aldus het rapport.
Volgens het rapport zijn miljoenen Wallets potentieel kwetsbaar voor mogelijk misbruik. Unciphered zei dat ze in samenwerking met andere partijen gebruikers op de hoogte hebben gebracht en hen hebben geadviseerd om de fondsen te verplaatsen naar en vertrouwde software wallet.
Fout herkend dankzij een gebruiker die geen toegang meer had tot zijn wallet
De fout werd voor het eerst opgemerkt toen een gebruiker van Blockchain.com geen toegang meer had tot zijn Bitcoin wallet. Dit leidde tot een onderzoek naar de software wallet van BitcoinJS, waarbij kwetsbaarheden aan het licht kwamen. Aangezien het om miljoenen wallets gaat, wordt verwacht dat de potentiële schade door kwaadwillenden in de miljarden euro's kan lopen.
Volgens het rapport is het beveiligingslek te wijten aan de manier waarop BitcoinJS, een JavaScript-implementatie van Bitcoin, de SecureRandom-functie in de JSBN-bibliotheek gebruikte. De zwakke plekken van deze functie hebben betrekking op de manier van entropieverzameling en PRNG (pseudo-random number generator), waardoor kwaadwillenden mogelijk toegang kunnen krijgen tot de private keys.
Kwetsbaarheid kan domino-effect veroorzaken
Omdat verschillende walletdiensten hun code hebben afgeleid van BitcoinJS, lopen deze walletd ook potentieel gevaar, zoals Dogechain.info en Blockchain.info, dus de problemen reiken verder dan Bitcoin.
De onderzoekers zeggen dat het ontwikkelen van software voor het beveiligen van financiële activa en persoonlijke gegevens altijd riskant is.