Een recent ontdekte kwetsbaarheid in een populaire Bitcoin toolkit kan de veiligheid van tienduizenden wallets wereldwijd in gevaar hebben gebracht. Volgens OneKey zit het probleem in Libbitcoin Explorer (bx) 3.x, een veelgebruikte bibliotheek die gebruikt werd door onder andere Trust Wallet. Door zwakke random number generatie zouden kwaadwillenden mogelijk toegang kunnen krijgen tot zo’n 120.000 private keys.
Bitcoin is verkrijgbaar bij Bitvavo en Bybit.
Zwakke random number generatie maakt sleutels voorspelbaar
De kwetsbaarheid heeft alles te maken met hoe Libbitcoin Explorer 3.x willekeurige getallen genereert. In plaats van een veilige methode, gebruikt het de verouderde Mersenne Twister 32 algoritme, dat alleen een 32 bit seed gebruikt op basis van systeemtijd. Hierdoor is de seedruimte klein genoeg om door brute force methodes relatief snel gekraakt te worden. Een moderne computer zou alle mogelijke seeds in slechts een paar dagen kunnen doorlopen en zo toegang kunnen krijgen tot bijbehorende Bitcoin wallets.
Getroffen software omvat onder andere de Trust Wallet Extension (versies 0.0.172 t/m 0.0.183) en Trust Wallet Core tot en met versie 3.1.1 (met uitzondering van 3.1.1 zelf). Ook andere wallets die Libbitcoin Explorer 3.x gebruikten kunnen kwetsbaar zijn.
OneKey wallets zijn niet getroffen
Volgens OneKey zelf is hun ecosysteem volledig veilig. De nieuwste hardware wallets maken gebruik van een Secure Element (SE) met een ingebouwde True Random Number Generator (TRNG), die voldoet aan internationale standaarden zoals EAL6+ en FIPS 140 2. Ook oudere hardware wallets van OneKey gebruiken interne TRNG’s die streng zijn getest op kwaliteit en willekeurigheid van de gegenereerde sleutels.
Op softwaregebied gebruikt OneKey betrouwbare CSPRNG’s (Cryptographically Secure Pseudo Random Number Generators) die de standaard zijn binnen moderne cryptografie. Toch wijst OneKey erop dat software wallets altijd afhankelijk blijven van de betrouwbaarheid van het besturingssysteem en de hardware van het apparaat. Daarom raden zij aan om voor langetermijnbeheer van digitale assets altijd een hardware wallet te gebruiken, en nooit een mnemonic gegenereerd in software over te zetten naar hardware. Lees ook ons overzicht van verschillende soorten crypto wallets voor meer informatie over veilige opslag.
120.000 Bitcoin sleutels mogelijk in gevaar
De ernst van deze fout kan nauwelijks worden overschat: door de voorspelbare manier van sleutelgeneratie kunnen kwaadwillenden toegang krijgen tot wallets van nietsvermoedende gebruikers. De impact lijkt vooral te liggen bij wallets die tussen eind 2022 en begin 2024 zijn aangemaakt met getroffen software. Wie in die periode gebruik heeft gemaakt van Trust Wallet of andere wallets gebaseerd op Libbitcoin Explorer, doet er verstandig aan om hun fondsen te verplaatsen naar een nieuw gegenereerde wallet met veilige entropy bron.
Volg ons op Google Nieuws en blijf altijd op de hoogte van het laatste crypto nieuws.
Claim 10 euro gratis Bitcoin
Wij mogen in samenwerking met Bitvavo, de grootste exchange van Nederland, maar liefst 10 euro aan Bitcoin of een andere crypto weggeven aan onze bezoekers. Ook mag je tot €10.000 commissievrij handelen binnen 7 dagen na je registratie.
Begin vandaag nog jouw avontuur met 10 euro gratis Bitcoin (hiervoor moet minimaal 10 euro gestort worden) en maak een account aan via onderstaande knop. De voorwaarden voor de actie vind je op de actiepagina.