Používáte kryptopeněženku od Libbitcoin Explorer? Zbystřete, můžete přijít o všechna svá digitální aktiva!

Ilustrační obrázek | zdroj CoinBank: https://coinbank.cz/portal-o-kryptomenach

Pokud jste si někdy vygenerovali kryptografickou peněženku prostřednictvím softwaru Libbitcoin Explorer (BX), nebo jste postupovali podle návodu z knihy "Mastering Bitcoin", mohou být vaše uložené tokeny v nebezpečí, nebo ještě hůře, mohou být již odcizeny. Nedávná zjištění totiž odhalila významnou zranitelnost v tomto široce používaném nástroji pro generování kryptopeněženek.

Katastrofální zranitelnost kryptopeněženky

Tato zranitelnost s označením CVE-2023-39910 odhaluje katastrofální slabinu v dílčím příkazu bx seed, který je zodpovědný za generování soukromého klíče nové kryptografické peněženky. Nedávná zjištění odhalila, že verze Libbitcoin Explorer 3.x používá ke generování soukromého klíče peněženky generátor náhodných čísel (PRNG) Mersenne Twister. A co víc, tento generátor používá dnes již dávno překonané 32bitové šifrování.

Co to znamená?

Výsledkem takového náhodného generování bylo, že namísto vytvoření jedinečného a velmi bezpečného hesla pro každého uživatele software jednou za čas vygeneroval stejné heslo někomu dalšímu. Poté, co na tuto slabinu přišli hackeři, začali ji hromadně zneužívat. Nic netušícím uživatelům tak mohli začít vysávat jejich kryptopeněženky, aniž by samotní uživatelé jakkoliv pochybili. Záznamy ukazují, že hackerské útoky dosáhly vrcholu kolem 12. července 2023, přičemž k počátečnímu zneužívání této kritické chyby docházelo již od května 2023.

V čem je chyba?

Použití generátoru náhodných čísel by samo o sobě nemusel být zas až takový problém. Problémem se stal v momentě, kdy byl použit s dnes již velmi slabým šifrováním, které dokážou dnešní počítače prolomit za méně než den. Zásadní zranitelnost tak spočívá v samotném špatném a slabém generování kryptografických čísel.

Bezpečný kryptografický systém je založen na velkých (dlouhých) nepředvídatelných číslech. Ty však dnes nevygenerujete, když budete využívat slabé šifrování. V takové kombinaci se generátor náhodných čísel stává křehkým, lehce zranitelným a ve výsledku prakticky nepoužitelným. Moderní kryptografie již běžně používá 256bitové šifrování a vyšší. Trošku starší systémy pak využívají šifrování o řád nižší (192 bitů, popř. 128 bitů).

Co se může stát?

Ačkoli 4.294.967.296 (2^32) unikátních kombinací (32bitové šifrování) je celkem velké číslo a leckoho může ohromit, moderním počítačům nedá moc práce takovou šifru prolomit. I když je zapotřebí otestovat velký počet variant, tak při současném pokroku v oblasti výpočetní techniky stačí na vyhledání všech kombinací méně než 24 hodin.

Laicky řečeno, hackeři se za pár hodin dokáží dostat ke všem kombinacím, které kdy takový generátor vygeneroval. Vzhledem k tomu, kolik aktiv může hacker od nic netušících uživatelů získat, je 24hodinové kombinování jen velmi krátkou dobou. Navíc, když si uvědomíme, že za takovou chvíli mohou hackeři získat plnou kontrolu nad uživatelovými prostředky, kontrolovat předchozí transakce v peněžence a dokonce podepisovat transakce nové.

Jak dlouho trvá moderním počítačům prolomit heslo | zdroj Response IT: https://www.response-it.co.uk/news/2020/9/2/how-long-does-it-take-to-crack-your-password

Chraňte se

Tato závada přináší mrazivou skutečnost, že i když se chováte zodpovědně, dbáte na bezpečnou úschovu svých přihlašovacích údajů, tak i přesto jsou vaše tokeny náchylné ke krádeži. Nic na tom nemění ani fakt, že své přihlašovací údaje (seed fráze) máte uloženy offline, ať již v digitální podobě, nebo vytisknuté na papíře a uložené ve fyzickém trezoru.

Debakl Libbitcoin Exploreru je přísnou připomínkou toho, že i když svět kryptografie nabízí mnoho nových příležitostí, tak stále také představuje obrovské riziko, a to jak pro zkušené uživatele, tak zejména pro začínající uživatele. Jedinou nápravou, aby k těmto selháním nedocházelo i v budoucnu, je dostatečné informování o možných rizicích a zranitelnostech takových systémů. Stejně důležité pak je i to, aby si každý uživatel udělal dostatečné rešerše před používáním nějakého systému, či platformy a v návaznosti na tato svá zjištění se choval zodpovědně a používal jen důvěryhodné nástroje.