Pavlo Kot

Duizenden crypto-wallets op zes blockchains lopen risico door Ill Bloom-kwetsbaarheid

Duizenden crypto-wallets op zes blockchains lopen risico door Ill Bloom-kwetsbaarheid
Ill Bloom-kwetsbaarheid

​Onderzoekers hebben een kwetsbaarheid geïdentificeerd die duizenden cryptocurrency-wallets op meerdere blockchains kan treffen. Volgens hun bevindingen hebben aanvallers sinds eind mei al meer dan $5 miljoen gestolen door misbruik te maken van zwakheden in de manier waarop sommige wallets seed phrases genereren.

Dit artikel is vertaald vanuit het origineel. Lees de originele versie van onze correspondent hier.

Volgens een rapport van Coinspect treft de Ill Bloom-kwetsbaarheid wallets op de netwerken van Bitcoin, Ethereum, Polygon, Rootstock, Tron en Solana.

Het probleem komt voort uit onvoldoende entropie tijdens het genereren van de seed phrase in bepaalde software-wallets. Omdat sommige applicaties vertrouwen op een onveilige pseudo-willekeurige getallengenerator, kunnen aanvallers privésleutels brute-forcen en toegang krijgen tot het geld van gebruikers.

Coinspect gaf aan dat de kwetsbaarheid voornamelijk minder bekende mobiele crypto wallets treft die sinds 2018 zijn ontwikkeld. Op basis van de analyse van het bedrijf zijn hardware wallets en de meeste moderne software-wallets niet getroffen.

Meer dan $5 miljoen gestolen

Coinspect zei technische details van de exploit achter te houden om te voorkomen dat aanvallen makkelijker te repliceren zijn. In plaats daarvan heeft het bedrijf een tool uitgebracht waarmee gebruikers kunnen controleren of hun wallet-adres mogelijk risico loopt.

Volgens de onderzoekers hebben aanvallers op 27 mei 431 van de 2.114 bekende kwetsbare wallets gecompromitteerd, waarbij ongeveer $3,1 miljoen werd gestolen. Afgelopen zondag werd nog eens $2 miljoen weggesluisd van extra gecompromitteerde adressen.

Blockchain-beveiligingsbedrijf SlowMist verklaarde de situatie nauwgezet te volgen en de potentiële impact van de nieuw onthulde kwetsbaarheid te beoordelen.

Vergelijkbare problemen deden zich eerder voor

De onderzoekers merkten op dat vergelijkbare gebreken cryptocurrency-walletgebruikers eerder hebben blootgesteld aan beveiligingsrisico's.

In 2023 identificeerden onderzoekers van Ledger een kwetsbaarheid in de Trust Wallet-browserextensie die aanvallers theoretisch in staat had kunnen stellen om seed phrases te brute-forcen. Het probleem werd gepatcht voordat er melding werd gemaakt van gestolen gebruikersgelden.

Ondertussen introduceerde Sovright onlangs Argos, een hersteltool waarmee voormalige ZEC Wallet Lite-gebruikers weer toegang krijgen tot activa die ontoegankelijk werden nadat de ondersteuning voor de wallet in 2022 stopte.

Eerder lanceerde Ledger zijn nieuwe Ledger Wallet-applicatie, die het kopen, verkopen, swappen en staken van crypto combineert in één platform. Het bedrijf zei ernaar te streven de app een volwaardig alternatief te maken voor traditionele software-wallets.

Dit materiaal kan meningen van derden bevatten, geen van de gegevens en informatie op deze webpagina vormt beleggingsadvies volgens onze Disclaimer. Hoewel we ons houden aan strikte Redactionele Integriteit, kan deze post verwijzingen bevatten naar producten van onze partners.