Author

Topic: Unsichere Tools / Sicherheitslücken - "bx seed" produziert unsichere Keys! (Read 89 times)

legendary
Activity: 1624
Merit: 4417
Top-tier crypto casino and sportsbook
Das Thema wird hier von CoinDesk in einem Artikelauch noch einmal aufgegriffen: Disappearance of $900K Puts Focus on Vintage Bitcoin Project Libbitcoin

Quote
Information security firm Distrust says a total of at least $900,000 was stolen across multiple blockchains.

...

Milk Sad is not restricted to Bitcoin. Ethereum, Zcash, Solana and even Dogecoin are among the list of eight blockchains affected.

Similar but not identical vulnerabilities have been detected in Cake Wallet and Trust Wallet, both multi-chain wallet apps.

Typically, seed phrases are created using a generator capable of producing a set or “key space” with a dizzying number of unique word combinations represented by the exponent of a binary digit or “bit” – essentially, the number two raised to the power of 128, 192 or 256.

...

Quelle: Disappearance of $900K Puts Focus on Vintage Bitcoin Project Libbitcoin

Gemäß der Sicherheitsfirma Distrust wurden wohl mindestens ~$900k gestohlen auf verschiedenen Chains gestohlen.

Ähnliche Probleme wurden übrigens auch bei den beiden bekannten Multi-Coin-Wallets Cake Wallet und Trust Wallet festgestellt.
legendary
Activity: 3304
Merit: 8633
icarus-cards.eu
danke d5000, dass du die wichtige info auch hier nochmal teilst. als ich davon vor 2 tagen auf twitter gelesen habe, habe ich dann sofort einen faden im internationalen bereich eröffnet.
falls fragen kommen, welche wallets genau dadurch nun betroffen worden waren und sind, findet ihr hier eine übersicht: https://en.bitcoin.it/wiki/Libbitcoin. das gute daran, die meisten wallets existieren nicht mehr bzw. werden nicht mehr weiter entwickelt.

man sieht wieder an diesem beispiel, dass (weil es so viele wallet angebote gibt) ihr euch alles 2-3 anschaut und prüft bevor man es schlußendlich dann für transaktionen nutzt
legendary
Activity: 3906
Merit: 6249
Decentralization Maximalist
Ich dachte, ich mache aus gegebenen Anlass einen Thread auf, in dem unsichere Tools und Apps für den Umgang mit Bitcoin gemeldet werden können.



Die "Techniker" werden es sicher schon mitbekommen haben, aber am 9. August wurde beim populären Kommandozeilen-Tool "Libbitcoin Explorer" in den Versionen ab 3.0, auch unter dem Kürzel bx bekannt, eine schwere Sicherheitslücke veröffentlicht. Es betrifft das Tool bx seed, mit dem Schlüsselpaare und Passphrasen generiert werden können. In den letzten Tagen kam es zu mehreren Diebstählen.

Das Problem: Die Entropie des Zufallsgenerators ist mit 32 bit sehr gering, was aber bis vor kurzem niemand gemerkt hat (es gab zu wenige Reviewer bei der Software). Das heißt: Seit 2016 werden mit diesem Tool unsichere Schlüsselpaare generiert.

Tragisch: Libbitcoin wird auch im bekannten Buch "Mastering Bitcoin" empfohlen.

Wer noch Schlüssel besitzt, die mit diesem Tool generiert wurden, sollte seine BTC schleunigst verschieben (sofern sie noch da sind)! Auch Altcoins können betroffen sein.

Mehr Info hier:

https://milksad.info

Im englischen Forum gibt es bereits Threads dazu, z.B. hier:

https://bitcointalk.org/index.php?topic=5462652.new

Das betroffene Tool (nicht mehr nutzen!)

https://github.com/libbitcoin

(Sollte das Thema schon irgendwo im deutschen Forum existieren - hab nix gefunden - bitte löschen oder anhängen Smiley )


Jump to: