Author

Topic: Randstorm, vulnerabilidade antiga em carteiras de Bitcoin (Read 105 times)

legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Curioso que em um dos links eu vi uma explicação que a vulnerabilidade tem a ver com a função Math.random()

Nem sou especialista nisso  mas no pouco que já estudei de numeros e criptografia em javascript , todo lugar fala pra não usar essa função. Daí uma lib enorme, que todo software de carteiras de bitcoin utiliza,  esta la usando essa funcao  Cheesy,


Quote
The source of the vulnerability is the SecureRandom() function found in the JSBN javascript library, combined with weaknesses that existed in major browser implementations of Math.random().

Olha o alerta bem no começo da página
Quote
https://developer.mozilla.org/pt-BR/docs/Web/JavaScript/Reference/Global_Objects/Math/random

Nota: Math.random() não gera números criptograficamente seguros. Não a use para nada relacionado a segurança. Use a API Web Crypto, mais precisamente o método window.crypto.getRandomValues()
legendary
Activity: 2758
Merit: 6830
Pelo menos parece ser menos mal do que a última do leite triste. Grin

Quote
[...] however, the amount of work necessary to exploit wallets varies significantly and, in general, considerably increases over time. That is to say, as a rule, impacted wallets generated in 2014 are substantially more difficult to attack than impacted wallets generated in 2012.

Novamente é um problema de baixa entropia nos algoritimos de randomização. Tongue

Detalhe que vários dos afetados já tinham realizado mudanças que acabaram dificultando o exploit em carteiras geradas depois de certos períodos. A Blockchain.info realizou melhoras em 2014, por exemplo.

E claro, as maravilhas do open-source:

legendary
Activity: 2688
Merit: 2297
Para quem gosta dessas vulnerabilidades, encontraram mais uma e deram o nome de Randstorm.

Resumindo, afeta carteiras criadas entre 2011-2015 (blockchain.info, brainwallet, bitgo, bitaddress, etc).. estima-se que US$ 1,2 a 2,1 bilhões estejam em risco.


Carteiras afetadas.

Fonte: https://www.unciphered.com/blog/disclosure-of-vulnerable-bitcoin-wallet-library
Mais informações: https://www.unciphered.com/blog/randstorm-you-cant-patch-a-house-of-cards
Outro link: https://www.unciphered.com/randstorm
Jump to: