tpwallet钱包官网下载最新版本|90 万美元的失踪让人们关注老式比特币项目 Libbitcoin

• 信息安全公司 Distrust 表示，多个区块链上总共至少有 90 万美元被盗。
• 黑客能够利用 Libbitcoin 浏览器中的漏洞，Libbitcoin 浏览器是比特币开发人员用来生成加密货币密钥并与区块链通信的开源命令行工具或文本界面。

2011 年，就​​在比特币推出两年后，英国-伊朗无政府主义开发商 Amir Taakia 和一群开源程序员创建了 Bitcoin Core 的替代方案——这是连接比特币网络的原始且仍然是最流行的方式。

这款名为 Libbitcoin 的替代软件现已发展成为一套全面的工具（一个库），用于实现与比特币区块链通信和生成加密货币密钥等关键功能。

推荐阅读 1

亿万富翁警告美国政府赤字达1.6万亿美元

1小时前 2

自行车出租车禁令：最高法院给德里政府 9 月 30 日之前的时间来最终确定政策

2小时前

它甚至出现在比特币教育家安德烈亚斯·安东诺普洛斯（Andreas Antonopoulos）的流行且可以说是规范的书《掌握比特币》中。

但过去几个月，大约 90 万美元从各个用户钱包中消失后，一度被认为安全的 Libbitcoin 被证明是不安全的。

根据 milksad.info 的一份报告，最新的传奇故事是这样展开的，该报告详细介绍了 Distrust 的调查结果，这家安全公司于 7 月在一组独立贡献者的协助下发现了该漏洞。

5 月份的某个时候，黑客在 Libbitcoin 浏览器（称为 BX）生成的多个钱包中发现了一个不起眼的漏洞后，开始秘密从毫无戒心的用户那里窃取资金。

报告称，该漏洞被称为“Milk Sad”，因为“milk”和“sad”是该漏洞生成的钱包恢复助记词中的前两个单词。

最严重的盗窃案发生在 7 月 12 日，价值 29.65 比特币 (BTC)，按当前汇率计算，价值约 87 万美元。Distrust 表示，多个区块链上总共至少有 90 万美元被盗，其中包括受该漏洞影响的大约 2,600 个比特币钱包中的一些。

根据 Anton Livaja 8 月 8 日的推文，Trezor 和 Ledger 等硬件钱包似乎毫发无伤，但仍有许多钱包面临风险，而且被盗资金的全部范围“尚未确定”。不信任团队的成员。

BX 附带一个名为“bx seed”的文本命令，它使用开发人员计算机上的时钟来生成用于创建钱包的种子短语。

加密货币软件为那些希望在意外丢失的情况下“恢复”或重新获得钱包访问权的用户提供 12 至 24 个单词或种子短语的随机组合。

但当使用 BX 时，结果短语的随机性不够。 根据该报告，“一台像样的游戏电脑可以进行强力搜索”，或者猜测用户种子短语的所有可能的单词组合，“在不到一天的时间内”。

报告指出：“可以将其视为使用密码管理器来保护你的网上银行帐户，该密码管理器会创建一个长随机密码。” “但它通常会为每个用户创建相同的密码。 恶意的人已经发现了这一点，并从他们能找到的任何账户上抽走了资金。”

以太坊、Zcash、Solana、Dogecoin 受到影响

Milk Sad 并不局限于比特币。 以太坊、Zcash、Solana 甚至狗狗币都在受影响的八个区块链之列。 在 Cake钱包 和 Trust钱包 这两个多链钱包应用程序中也检测到了类似但不相同的漏洞。

通常，种子短语是使用能够生成一组或“密钥空间”的生成器创建的，其中包含令人眼花缭乱的独特单词组合，由二进制数字或“位”的指数表示 – 本质上是数字 2 的幂128、192 或 256。

BX 的 32 位密钥空间微不足道，只能产生大约 43 亿个唯一的单词组合。 报告称，“这并不像听起来那么多种组合”。

BX 的首席开发人员 Eric Voskuil 承认种子生成器确实不安全，但坚称软件中没有错误，认为 bx 种子文本命令被滥用了。 他在推特上发布了该应用程序 GitHub 文档的屏幕截图，警告开发人员注意该漏洞。

“这不是 BX 或 Libbitcoin 的错误，”Voskuil 发推文说。 “这是鲁莽的钱包开发。”

比特币社区的几位密码学家不敢苟同。

比特币基础设施公司 Blockstream 的密码学家蒂姆·鲁芬 (Tim Ruffing) 在推特上写道：“案件非常清楚。” “这是你的错误，就这样。”

布拉德利·科恩编辑。

Tags：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处“来源演示站”。