Questi Wallet Bitcoin creati prima del 2016 potrebbero essere in pericolo!
Disclaimer
Siamo fautori di un rapporto basato sulla più totale trasparenza con i nostri lettori. Ed è per questo che teniamo a sottolineare che alcuni dei nostri contenuti potrebbero includere link di affiliazione, da cui poter guadagnare una commissione attraverso queste partnership.L’azienda statunitense di cybersicurezza Unciphered ha avvertito gli utenti di tutto il mondo che alcuni wallet bitcoin (BTC) creati prima del 2016 potrebbero essere in pericolo, così come i miliardi di BTC contenuti al loro interno.
Negli ultimi 22 mesi il team di Unciphered ha lavorato su una vulnerabilità che riguardava BitcoinJS, un pacchetto per la generazione di wallet di criptovalute basato su browser.
BitcoinJS è infatti una libreria JavaScript per Bitcoin, utilizzabile sia con Node.js che nei browser. È scritta in TypeScript ma vengono forniti anche i file JavaScript per la verifica.
La libreria è destinata a essere utilizzata per lo sviluppo di applicazioni che necessitano di interagire con la rete Bitcoin, come la creazione di transazioni, la gestione di chiavi e indirizzi, o la comunicazione con i nodi della blockchain
Poiché il pacchetto era molto popolare, la vulnerabilità ha causato la generazione di “un numero significativo” di wallet di criptovalute vulnerabili nel corso degli anni. I primi utilizzatori di criptovalute e i partecipanti a una serie di piattaforme blockchain tra il 2011 e il 2015 potrebbero correre un grosso rischio.
Il post spiega che, nel gennaio del 2022 Unciphered ha scoperto il “bug” mentre lavorava per un cliente che aveva un wallet bitcoin appartenente a Blockchain.com (precedentemente Blockchain.info).
“Secondo le nostre stime, circa 1,4 milioni di BTC si trovano in wallet generati con chiavi crittografiche potenzialmente deboli. Se stimiamo prudentemente che solo il 3-5% dei wallet generati in quel periodo sono stati colpiti, il valore attuale dei BTC a rischio è compreso tra 1,2 e 2,1 miliardi di dollari (ipotizzando che 1 BTC=30.000 dollari)”.
Diversi esperti hanno lanciato l’allarme fin dal 2018. Il problema è stato denominato Randstorm.
Secondo il sito web di Unciphered,
“Randstorm() è un termine che abbiamo coniato per descrivere un insieme di bug, decisioni di progettazione e modifiche alle API che, se messe in contatto tra loro, si combinano per ridurre drasticamente la qualità dei numeri casuali prodotti dai browser web di una certa epoca (2011-2015)”.
In altre parole, non sarebbero stati così casuali come avrebbero dovuto essere.
Al momento, il team non fornirà ulteriori dettagli sulla vulnerabilità. Questo per dare ai proprietari il tempo di spostare i propri fondi ed evitare di fornire ulteriori informazioni ai malintenzionati che potrebbero essere già all’opera.
Today we release our work on Randstorm: a vulnerability affecting a significant number of browser generated cryptocurrency wallets https://t.co/CebdytNaC6
Reporting @washingtonpost https://t.co/OzYDq2tH4W
Technical write-up: https://t.co/HPqjtaX1CA #Bitcoin #blockchain pic.twitter.com/aN7CZh9sv4
— Unciphered LLC (@uncipheredLLC) November 14, 2023
La versione software è fondamentale
Il team ha sottolineato che le basi matematiche di bitcoin e blockchain rimangono solide. Il problema è legato a una serie di errori di programmazione “ampiamente condivisi da molte tecnologie”.
La versione del software utilizzata è particolarmente critica secondo il team. I wallet di Blockchain.info, ad esempio, creati prima del marzo 2012, o altri wallet creati utilizzando la versione open-source di BitcoinJS prima degli aggiornamenti cruciali del marzo 2014, sono a maggior rischio.
BitcoinJS è stato utilizzato da molti progetti nei primi anni 2010, tra cui i progetti riportati di seguito nella tabella:
Fonte: Unciphered
Il team sottolinea che non tutti i progetti citati sono interessati. Per quelli che lo sono, l’impatto varia a seconda di quanto tempo hanno utilizzato il codice vulnerabile, delle correzioni messe in atto e delle dimensioni della base di utenti in quel momento.
Il team ha confermato che la vulnerabilità scoperta è sfruttabile. Ma la quantità di lavoro necessaria per crackare i wallet varia e aumenta nel tempo: quelli generati nel 2014 sono sostanzialmente più difficili da attaccare rispetto a quelli creati nel 2012.
Non è finita. Unciphered ha divulgato il problema a Blockchain.com, Bitgo, Block.io, Dogechain.info, Bitpay, Blockstream Green, Bitaddress.org, Coinkite e BitcoinJS.
“Oltre un milione di utenti hanno ricevuto un messaggio che spiega che i loro wallet di criptovalute sono potenzialmente vulnerabili e li esortano a spostare i loro beni su wallet più recenti”.
Bitcoin non è l’unica crypto in pericolo: anche i wallet di molte altcoin potrebbero esserlo.
Ad esempio, i ricercatori di Unciphered hanno appurato che esistono “problemi simili” nella generazione dei wallet DOGE creati nello stesso periodo.
Infine, il team ha avvertito che gli utenti potrebbero avere solo ore o giorni per salvare i propri fondi.
“Non possiamo fare di più per proteggervi. Ora dovete proteggere voi stessi. Spostate i vostri soldi in un nuovo wallet. Appena potete”.
Gli utenti possono verificare se i loro wallet sono vulnerabili su: www.keybleed.com.
Leggi Anche:
- MetaMask collabora con Blockaid per introdurre una nuova funzione di sicurezza
- Binance presenta il wallet Web3 che promuove la “finanza autonoma sovrana”