ช่องโหว่ที่เพิ่งค้นพบในไลบรารี Libbitcoin Explorer 3.x ทำให้ผู้ใช้ Bitcoin ถูกขโมยเงินไปกว่า 900,000 ดอลลาร์ (31.6 ล้านบาท) ตามรายงานจากบริษัทด้านความปลอดภัยจาก SlowMist
โดยช่องโหว่ดังกล่าวยังส่งผลกระทบต่อผู้ใช้ Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash และ Zcash ที่ใช้ Libbitcoin เพื่อสร้างบัญชีอีกด้วย
Libbitcoin เป็นการใช้งานกระเป๋าเงิน Bitcoin ที่บางครั้งนักพัฒนาและ validator ใช้เพื่อสร้างบัญชี Bitcoin และ cryptocurrency อื่น ๆ โดยถูกใช้งานโดย “Airbitz (กระเป๋าเงินมือถือ) , Bitprim (อินเทอร์เฟซสำหรับนักพัฒนา) , Blockchain Commons (ข้อมูลประจำตัวกระเป๋าเงินแบบกระจายอำนาจ) , Cancoin (เว็บเทรดแบบกระจายอำนาจ)” และแอปพลิเคชันอื่น ๆ ซึ่ง SlowMist ไม่ได้ระบุว่ามีแอปพลิเคชันใดบ้างที่ใช้ Libbitcoin ที่ได้รับผลกระทบจากช่องโหว่นี้
“Distrust” ทีมรักษาความปลอดภัยทางไซเบอร์ของ SlowMist เป็นทีมที่ค้นพบช่องโหว่ซึ่งเดิมเรียกว่าช่องโหว่ “Milk Sad” โดยได้มีการรายงานไปยัง CEV cybersecurity vulnerability database เมื่อวันที่ 7 สิงหาคม
Libbitcoin Explorer มีกลไกการสร้างคีย์ที่ผิดพลาด ทำให้ผู้โจมตีสามารถเดา private keys ได้ เป็นผลให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ เพื่อขโมย crypto ไปมูลค่ากว่า $900,000 ณ วันที่ 10 สิงหาคม
SlowMist เน้นย้ำว่า การโจมตีหนึ่งครั้งได้ดูดเอา BTC ไปมากกว่า 9.7441 BTC (ประมาณ $278,318) และบริษัทอ้างว่าได้มีการ “บล็อก” ที่อยู่กระเป๋า ซึ่งหมายความว่าทีมงานได้ติดต่อเว็บเทรดเพื่อป้องกันไม่ให้ผู้โจมตีถอนเงินออกไป และยังระบุด้วยว่าจะติดตามที่อยู่กระเป๋าต่อไปในกรณีที่เงินถูกย้ายไปที่อื่น
นักวิจัยระบุว่า ค้นพบช่องโหวหลังจากพวกเขาได้รับการติดต่อจากผู้ใช้ Libbitcoin ซึ่ง BTC หายไปอย่างลึกลับเมื่อวันที่ 21 กรกฎาคม และเมื่อลองติดต่อกับผู้ใช้ Libbitcoin รายอื่น ๆ เพื่อพยายามตรวจสอบว่า BTC หายไปได้อย่างไร ก็พบว่า ผู้ใช้รายอื่นก็มีการถูกดูด BTC ของพวกเขาออกไปเช่นกัน
อ้างอิง : cointelegraph
ภาพ blockchain
