120 000 Bitcoin (BTC) maki ir apdraudēti ar šo ievainojamību

Dēļ zināmas kļūdas Libbitcoin Explorer (bx) 3.x bibliotēkā, vairāk nekā 120 000 Bitcoin (BTC) maki visā pasaulē var tikt uzlauzti. Vāja nejaušu skaitļu ģenerēšanas principa dēļ potenciālajiem ļaundariem ir vieglāk uzminēt sēklu frāzes. Drošības pētnieki dalās ar dažiem viegliem soļiem, kā aizsargāt savus līdzekļus.
Tūkstošiem Bitcoin (BTC) maku ir pakļauti brutālas spēka uzbrukumiem
Pirmo reizi atklāta 2023. gada novembrī, ievainojamība Libbitcoin Explorer (bx) 3.x joprojām padara nekustamos BTC makus uzņēmīgus pret brutālas spēka uzbrukumiem. Potenciālā uzlaušanas vektora pārskats tika dalīts ar OneKey maka komandu vakar, 2025. gada 17. oktobrī.
Ievainojamība, kas tika atklāta Piena skumjā incidentā, neietekmē nevienas OneKey aparatūras vai programmatūras maka mnemotisko vai privāto atslēgu drošību. Ievainojamības pārskats Problēma radās no Libbitcoin Explorer (bx) 3.x, kas radīja nejaušus skaitļus, izmantojot Mersenne… pic.twitter.com/BsqhFIeNsl
— OneKey (@OneKeyHQ) 2025. gada 17. oktobris
Apspriestā bibliotēka — rīku komplekts programmatūras izstrādes instrumentiem Bitcoin (BTC) makiem C++ programmēšanas valodā — radīja nejaušus skaitļus, izmantojot Mersenne Twister-32 algoritmu, kas sēklots tikai ar sistēmas laiku.
Tā kā sēklu telpa tajā gadījumā bija ierobežota līdz 2³² vērtībām, radītie nejaušie skaitļi izrādījās vairāk pakļauti brutālā spēka uzskaitīšanai.
Kā rezultātā, maki, kas izveidoti ar noteiktām Trust Wallet versijām un tieši ar Libbitcoin Explorer (bx) 3.x, var tikt atjaunoti ļaundariem. Īsā laikā uzbrucēji var iegūt privātās atslēgas:
Tā kā sēklu telpa ir tik maza, augstas veiktspējas personālais dators var uzskaitīt visus iespējamos sēklas iekšējos dienas laikā, ļaujot uzbrucējiem prognozēt privātās atslēgas, kas ģenerētas pēc izvēles laika punktiem, un nozagt aktīvus lielā apmērā.
Tādējādi RNG vājums, neskatoties uz to, ka tas ir zināms jau divus gadus, joprojām ietekmē Bitcoin (BTC) on-chain maku auditoriju.
Trīs soļi, lai nodrošinātu savu līdzekļu drošību
Lai novērstu uzbrukumus makiem, 2017.-2023. gadā radīto Bitcoin (BTC) adreses, kas izveidotas ar ievainojamām rīku, lietotājiem jānodod savi līdzekļi citiem uzglabāšanas veidiem, ko aizsargā Kriptogrāfiski drošs pseido nejaušu skaitļu ģenerators (CSPRNG) tehnoloģija.
Tāpat jaunu sēklu frāžu ģenerēšana — īpaši, balstoties uz BIP 39 noteikumiem — var būt noderīga, lai uzlabotu Bitcoin (BTC) maku drošības slāni.
Tad ieteicams pārbaudīt visus papīra vai aparatūras makus, kuri varētu būt ietekmēti ar ievainojamību — pazīstamu kā "Piena skumjais gadījums."
Programmatūras maku gadījumā lietotājiem vienmēr jāpārliecinās, ka izmanto jaunāko programmatūras un operētājsistēmu versiju.