Bitcoin Forum>Local>Português (Portuguese)>Desenvolvimento & Discussões Técnicas
Author

Topic: Randstorm, vulnerabilidade antiga em carteiras de Bitcoin (Read 87 times)

bitmover
legendary
Activity: 2352
Merit: 6089
bitcoindata.science
Randstorm, vulnerabilidade antiga em carteiras de Bitcoin
November 16, 2023, 01:16:00 PM
#3
Curioso que em um dos links eu vi uma explicação que a vulnerabilidade tem a ver com a função Math.random()

Nem sou especialista nisso  mas no pouco que já estudei de numeros e criptografia em javascript , todo lugar fala pra não usar essa função. Daí uma lib enorme, que todo software de carteiras de bitcoin utiliza,  esta la usando essa funcao  Cheesy,


Quote
The source of the vulnerability is the SecureRandom() function found in the JSBN javascript library, combined with weaknesses that existed in major browser implementations of Math.random().

Olha o alerta bem no começo da página
Quote
https://developer.mozilla.org/pt-BR/docs/Web/JavaScript/Reference/Global_Objects/Math/random

Nota: Math.random() não gera números criptograficamente seguros. Não a use para nada relacionado a segurança. Use a API Web Crypto, mais precisamente o método window.crypto.getRandomValues()
TryNinja
legendary
Activity: 2758
Merit: 6830
Re: Randstorm, vulnerabilidade antiga em carteiras de Bitcoin
November 14, 2023, 01:55:51 PM
#2
Pelo menos parece ser menos mal do que a última do leite triste. Grin

Quote
[...] however, the amount of work necessary to exploit wallets varies significantly and, in general, considerably increases over time. That is to say, as a rule, impacted wallets generated in 2014 are substantially more difficult to attack than impacted wallets generated in 2012.

Novamente é um problema de baixa entropia nos algoritimos de randomização. Tongue

Detalhe que vários dos afetados já tinham realizado mudanças que acabaram dificultando o exploit em carteiras geradas depois de certos períodos. A Blockchain.info realizou melhoras em 2014, por exemplo.

E claro, as maravilhas do open-source:

sabotag3x
legendary
Activity: 2688
Merit: 2297
Re: Randstorm, vulnerabilidade antiga em carteiras de Bitcoin
November 14, 2023, 12:15:36 PM
#1
Para quem gosta dessas vulnerabilidades, encontraram mais uma e deram o nome de Randstorm.

Resumindo, afeta carteiras criadas entre 2011-2015 (blockchain.info, brainwallet, bitgo, bitaddress, etc).. estima-se que US$ 1,2 a 2,1 bilhões estejam em risco.


Carteiras afetadas.

Fonte: https://www.unciphered.com/blog/disclosure-of-vulnerable-bitcoin-wallet-library
Mais informações: https://www.unciphered.com/blog/randstorm-you-cant-patch-a-house-of-cards
Outro link: https://www.unciphered.com/randstorm
Bitcoin Forum>Local>Português (Portuguese)>Desenvolvimento & Discussões Técnicas
Jump to: