La società di sicurezza informatica Unciphered ha portato alla luce un bug decennale che interessava i portafogli basati su browser generati tra il 2011 e il 2015.
Il bug potrebbe consentire ad attori malvagi di rubare fino a 2,1 miliardi di dollari dai portafogli su varie reti, tra cui Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) e Zcash (ZEC).
Alla scoperta di un antico insetto
In un'intervista con il Wall Street Journal , il team di Unciphered ha spiegato di aver scoperto accidentalmente il bug durante un tentativo fallito di recuperare i 600.000 dollari in Bitcoin (BTC) persi di uno dei primi investitori.
L'imprenditore Nick Sullivan ha creato il suo portafoglio Bitcoin nel 2014 utilizzando il sito web Blockchain.info (da allora ribattezzato Blockchain.com). Successivamente, ha perso accidentalmente l'accesso alle sue monete dopo aver cancellato la memoria del suo computer senza ricordarsi di registrare la chiave privata del suo portafoglio.
Su richiesta di Sullivan, Unciphered ha iniziato a cercare le monete di Sullivan nel gennaio 2022. Sebbene alla fine non disponessero di informazioni sufficienti per recuperarle, si sono resi conto nel processo che il codice di Blockchain.info per creare chiavi casuali del portafoglio – BitcoinJS – non creava tutti i suoi portafogli abbastanza casuale.
"BitcoinJS è stato terribilmente distrutto fino a marzo 2014", ha affermato il co-fondatore di Unciphered Eric Michaud. "Chiunque lo utilizzi direttamente corre un rischio molto elevato di attacco."
Anche un altro sito di portafoglio, Dogecoin.info, ha utilizzato BitcoinJS, lasciando molti vecchi utenti Dogecoin esposti alla stessa vulnerabilità.
Affermazioni non cifrate secondo cui i portafogli realizzati prima di marzo 2012 contengono beni per 100 milioni di dollari che potrebbero essere facilmente hackerati da un utente di computer domestico. Altri 50 miliardi di dollari sono custoditi nei portafogli creati tra allora e il 2015, di cui almeno 500 milioni sono vulnerabili.
I crittografi hanno scoperto difetti nella casualità della generazione del portafoglio nel 2014 e da allora hanno migliorato i loro metodi. Unciphered ha affermato di non aver scoperto alcun portafoglio generato dopo il 2016 affetto da debole casualità.
Come dirlo alle vittime?
Unciphered ha reso pubblica la vulnerabilità questa settimana, ma da mesi avverte silenziosamente gli utenti interessati che i loro beni sono a rischio.
La sfida è stata convincere milioni di vittime a spostare i propri fondi senza rivelare la vulnerabilità ai ladri che altrimenti li avrebbero sfruttati per rubare monete.
Alla fine Unciphered ha deciso di rivolgersi al più grande sito responsabile della generazione di tali portafogli che potrebbe essere in grado di avvisare discretamente gli utenti interessati. Quel sito finì per essere quello utilizzato da Sullivan: Blockchain.com.
Il sito ha inviato e-mail ai possessori di oltre 1,1 milioni di portafogli interessati e ha trovato un modo per aggiornare automaticamente i portafogli di chiunque visitasse il suo sito.
"Nelle criptovalute, devi essere piuttosto scettico nei confronti delle persone che chiamano con qualcosa che sembra drammatico, perché ci sono così tanti truffatori", ha detto il presidente di Blockchain.com Lane Kasselman riguardo all'avvertimento di Unciphered. "Non era chiaro chi fossero e quale fosse la portata del tutto."
Molti utenti interessati non sono stati ancora avvisati direttamente poiché i siti che hanno utilizzato per creare i loro portafogli sono ormai fuori dal mercato.
Il post Il vecchio bug del portafoglio crittografico mette a rischio 2,1 miliardi di dollari: Unciphered è apparso per la prima volta su CryptoPotato .