آسیب‌پذیری در کیف پول ارز دیجیتال

به گزارش کارگروه فناوری اطلاعات سایبربان، به گفته وان کی (OneKey)، ارائه‌دهنده کیف پول ارز دیجیتال، نقصی در سری x.3 (bx) نرم‌افزار پرکاربرد لیب بیت‌کوین اکسپلورر (Libbitcoin Explorer) بیش از 120 هزار کلید خصوصی بیت‌کوین را افشا کرده است. 

این نقص ناشی از یک مولد اعداد تصادفی ضعیف بود که از زمان سیستم استفاده و کلیدهای کیف پول را قابل‌پیش‌بینی می‌کرد.

مهاجمان آگاه از زمان ایجاد کیف پول می‌توانستند کلیدهای خصوصی را بازسازی کرده و به وجوه دسترسی پیدا کنند.

چندین کیف پول، از جمله نسخه‌های تراست ولت اکستنشن (Trust Wallet Extension) و تراست ولت کُر (Trust Wallet Core) قبل از انتشار وصله‌ها، تحت‌تأثیر قرار گرفتند. 

محققان گفتند که فضای محدودمقدار اولیه (seed) در مرسن تویستر-32 (Mersenne Twister-32) به هکرها اجازه می‌دهد حملات را خودکار کرده و کلیدهای خصوصی را بازسازی کنند که احتمالاً باعث ازدست‌رفتن وجوه شده است.

اعداد تصادفی (Random Number) و همچنین اعداد شبه‌تصادفی (Pseudo Random) در صنعت، نمونه‌گیری و توزیع‌های آماری و بخصوص در رمزنگاری  (Cryptography) اطلاعات رایانه‌ای کاربرد دارند. 

الگوریتم و روش‌های مختلفی برای تولید اعداد شبه‌تصادفی وجود دارد که یکی از مرسوم‌ترین آن‌ها روش تولید اعداد تصادفی با مرسن تویستر-32 (Mersenne Twister-32) است.

کیف پول OneKey تأیید کرد که کیف پول‌های خود با استفاده از تولید اعداد تصادفی قوی از نظر رمزنگاری و عناصر امن سخت‌افزاری که مطابق با استانداردهای امنیتی جهانی هستند، ایمن باقی می‌مانند.

OneKey  همچنین کیف پول‌های نرم‌افزاری خود را بررسی و اطمینان حاصل کرد که نسخه‌های دسکتاپ، مرورگر، اندروید و iOS به منابع آنتروپی سطح سیستم ایمن متکی هستند. 

این شرکت از دارندگان بلندمدت ارزهای دیجیتال خواست تا برای کاهش ریسک، از کیف پول‌های سخت‌افزاری استفاده کنند و از واردکردن رمزهای عبور تولید شده توسط نرم‌افزار خودداری کنند.

این شرکت تأکید کرد که امنیت کیف پول به یکپارچگی دستگاه و محیط عملیاتی آن بستگی دارد.