Una startup di cybersicurezza chiamata Unciphered ha rivelato una vulnerabilità critica nei portafogli di criptovalute risalenti al periodo compreso tra il 2011 e il 2015, creati utilizzando BitcoinJS, un software per la generazione di portafogli Bitcoin. Questa falla di sicurezza, che potrebbe potenzialmente interessare miliardi di dollari in beni digitali, è stata portata alla luce durante un'indagine approfondita durata 22 mesi da parte dell'azienda.
La vulnerabilità è emersa mentre Unciphered assisteva un cliente che non riusciva ad accedere al proprio portafoglio bitcoin Blockchain.com. Il problema deriva dalla funzione SecureRandom della libreria javascript JSBN ed è aggravato dalle debolezze riscontrate nelle implementazioni della funzione Math.random dei principali browser in quel periodo.
Il ruolo principale della funzione SecureRandom è quello di raccogliere l'entropia per generare numeri casuali necessari per la creazione di chiavi private Bitcoin sicure. Tuttavia, a causa di una raccolta di entropia insufficiente e di difetti nel generatore di numeri pseudo-casuali (PRNG), la funzione non ha fornito i 256 bit di casualità richiesti. Di conseguenza, alcuni portafogli sono più suscettibili di attacchi in cui il materiale delle chiavi potrebbe essere recuperato da soggetti malintenzionati.
Il rischio presentato da questa falla si è in qualche modo ridotto nel tempo, poiché i nuovi portafogli hanno incorporato ulteriori fonti di entropia, migliorando le misure di sicurezza. Tuttavia, l'impatto potenziale di questa vulnerabilità è significativo e riguarda non solo bitcoin ma anche i portafogli basati su dogecoin, litecoin e zcash. Inoltre, tutti i servizi e i progetti che hanno derivato il loro codice da BitcoinJS in quegli anni potrebbero essere a rischio.
Questo articolo è stato generato e tradotto con il supporto dell'intelligenza artificiale e revisionato da un redattore. Per ulteriori informazioni, consultare i nostri T&C.