Alat Command-Line Pembuatan Kunci Pribadi Bitcoin "bx seed" Mungkin Memiliki Kerentanan Keacakan yang Lemah, Sekarang Sudah Diperbaiki

Odaily Planet melaporkan bahwa tim milksad.info baru-baru ini memposting bahwa mereka menemukan kerentanan keacakan yang lemah dalam bitcoin libbitcoin-explorer (alat baris perintah bx) pada tanggal 21 Juli. Halaman GitHub sekarang menunjukkan bahwa kerentanan tersebut telah diperbaiki hari ini dan perintah "bx seed" telah dihapus. Alat "bx seed" hanya menggunakan waktu sistem sebagai sumber keacakan saat menghasilkan mnemonik, sehingga hanya dapat menghasilkan satu dari sekitar 4 miliar mnemonik, yang dapat dengan mudah dibuat ulang oleh penyerang. Tim menemukan lebih dari 2.600 dompet Bitcoin aktif berdasarkan entropi "bx seed", yang semuanya memiliki setoran yang sama kecilnya pada tahun 2018. Dompet Kue dan Dompet Kepercayaan memiliki kerentanan yang sama, sementara dompet lain tidak terpengaruh oleh kerentanan tersebut. Peretasan dimulai pada 3 Mei 2023 dan mencakup beberapa pemindaian dompet yang lebih kecil yang berlangsung hingga 15 Juli. Pencurian terburuk terjadi pada 12 Juli, ketika total 29,65 BTC senilai sekitar $ 870,000 dicuri. Menurut artikel tersebut, setidaknya sekitar $ 900,000 dalam aset yang dicuri telah ditransfer, termasuk BTC, ETH, XRP, DOGE, SOL, LTC, BCH, dan ZEC. Ada kemungkinan juga bahwa beberapa pencurian publik mengeksploitasi masalah generator nomor acak di versi sebelum bx 3.0.0, tetapi tim milksad.info belum mengonfirmasi hal ini dan berencana untuk melakukan penelitian lebih lanjut berdasarkan hal ini.