به گزارش کارگروه فناوری اطلاعات سایبربان، به گفته وان کی (OneKey)، ارائهدهنده کیف پول ارز دیجیتال، نقصی در سری x.3 (bx) نرمافزار پرکاربرد لیب بیتکوین اکسپلورر (Libbitcoin Explorer) بیش از 120 هزار کلید خصوصی بیتکوین را افشا کرده است.
این نقص ناشی از یک مولد اعداد تصادفی ضعیف بود که از زمان سیستم استفاده و کلیدهای کیف پول را قابلپیشبینی میکرد.
مهاجمان آگاه از زمان ایجاد کیف پول میتوانستند کلیدهای خصوصی را بازسازی کرده و به وجوه دسترسی پیدا کنند.
چندین کیف پول، از جمله نسخههای تراست ولت اکستنشن (Trust Wallet Extension) و تراست ولت کُر (Trust Wallet Core) قبل از انتشار وصلهها، تحتتأثیر قرار گرفتند.
محققان گفتند که فضای محدودمقدار اولیه (seed) در مرسن تویستر-32 (Mersenne Twister-32) به هکرها اجازه میدهد حملات را خودکار کرده و کلیدهای خصوصی را بازسازی کنند که احتمالاً باعث ازدسترفتن وجوه شده است.
اعداد تصادفی (Random Number) و همچنین اعداد شبهتصادفی (Pseudo Random) در صنعت، نمونهگیری و توزیعهای آماری و بخصوص در رمزنگاری (Cryptography) اطلاعات رایانهای کاربرد دارند.
الگوریتم و روشهای مختلفی برای تولید اعداد شبهتصادفی وجود دارد که یکی از مرسومترین آنها روش تولید اعداد تصادفی با مرسن تویستر-32 (Mersenne Twister-32) است.
کیف پول OneKey تأیید کرد که کیف پولهای خود با استفاده از تولید اعداد تصادفی قوی از نظر رمزنگاری و عناصر امن سختافزاری که مطابق با استانداردهای امنیتی جهانی هستند، ایمن باقی میمانند.
OneKey همچنین کیف پولهای نرمافزاری خود را بررسی و اطمینان حاصل کرد که نسخههای دسکتاپ، مرورگر، اندروید و iOS به منابع آنتروپی سطح سیستم ایمن متکی هستند.
این شرکت از دارندگان بلندمدت ارزهای دیجیتال خواست تا برای کاهش ریسک، از کیف پولهای سختافزاری استفاده کنند و از واردکردن رمزهای عبور تولید شده توسط نرمافزار خودداری کنند.
این شرکت تأکید کرد که امنیت کیف پول به یکپارچگی دستگاه و محیط عملیاتی آن بستگی دارد.
