Beveiligingsbedrijf Coinspect heeft een kwetsbaarheid in cryptowalletsoftware onthuld, genaamd Ill Bloom, die al door aanvallers wordt misbruikt. De fout zit in de manier waarop sommige walletsoftware de herstelzin genereert, de woorden die toegang geven tot de fondsen. Wanneer deze zin met onvoldoende willekeur wordt aangemaakt, kan een aanvaller deze achterhalen en zo alle controle over de wallet verkrijgen. Op 27 mei vond een gecoördineerde aanval plaats waarbij ongeveer $3,1 miljoen werd leeggehaald uit 431 wallets. Sindsdien is er nog eens ongeveer $2 miljoen van kwetsbare wallets verplaatst, waarbij niet duidelijk is hoeveel daarvan diefstal betreft en hoeveel eigenaren hun geld veilig hebben gesteld.
Volgens Coinspect zijn wallets die op hardwareapparaten zijn aangemaakt niet kwetsbaar, net als de meeste gangbare software wallets. Het risico ligt vooral bij oudere of minder bekende mobiele wallets, sommige daterend uit 2018. Omdat de betrokken apps niet zijn genoemd, kunnen gebruikers hun publieke walletadressen controleren via de gratis tool op illbloom.org. Een positieve uitslag betekent dat de herstelzin als gecompromitteerd moet worden beschouwd en dat de fondsen naar een nieuwe wallet moeten worden overgezet.
Elke zelfbeheer wallet begint met een herstelzin van meestal 12 of 24 woorden, bedoeld om willekeurig gekozen te worden uit een enorm grote set mogelijkheden. De getroffen wallets gebruikten echter een zwakke willekeurige getallengenerator bij het aanmaken van deze zin, waardoor de mogelijke combinaties sterk werden beperkt en aanvallers deze konden doorzoeken. Coinspect reconstrueerde de aanval door alle mogelijke zinnen van de zwakke generator te doorlopen, de bijbehorende walletadressen af te leiden en deze te controleren op blockchaintransacties met nog aanwezige fondsen. Dit resulteerde in een lijst van zwakke wallets, ongeacht de gebruikte app.
Tot 30 juni heeft Coinspect 2.114 kwetsbare adressen met on-chain activiteit geïdentificeerd op onder meer Bitcoin, Ethereum, Rootstock, Tron en Polygon. De aanval op 27 mei richtte zich op 431 wallets en leidde tot een verlies van $3,1 miljoen, waarvan $2,57 miljoen in Bitcoin. Eén Bitcoinadres verloor zelfs meer dan $1,1 miljoen. De gecoördineerde aard van de diefstal bleek uit het feit dat honderden wallets hun saldo binnen enkele uren naar dezelfde verzamelaarsadressen stuurden. Sinds die datum is er meer dan $5 miljoen van deze wallets verplaatst, wat volgens Coinspect een minimumwaarde is, aangezien nog niet alle adressen in kaart zijn gebracht. Op het hoogtepunt in 2022 was de totale waarde van deze wallets ongeveer $12,56 miljoen, hoewel de marktwaarde al was gedaald voor de aanval.
Gebruikers kunnen hun publieke walletadressen controleren op illbloom.org, waar adressen van Bitcoin, Tron, Solana en Ethereum-achtige ketens worden geaccepteerd. Omdat één zwakke herstelzin toegang kan geven tot meerdere ketens, is het belangrijk om alle adressen die aan dezelfde seed zijn gekoppeld te controleren. Een negatieve uitslag sluit niet uit dat de wallet kwetsbaar is, maar een positieve uitslag is een duidelijke waarschuwing. Bij een match moet de herstelzin als gecompromitteerd worden beschouwd en dienen de fondsen onmiddellijk naar een nieuwe wallet met een nieuwe herstelzin te worden overgezet. Het opnieuw installeren van de oude app of importeren van dezelfde zin brengt het risico van diefstal niet weg.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *