比特幣私鑰生成命令行工具「bx seed」存在弱隨機性的重大漏洞，現已修復

BlockBeats 消息，8 月 14 日，milksad.info 團隊發文稱，7 月 21 日發現比特幣 libbitcoin-explorer（命令行工具 bx）中存在一個名為「milk sad」重大漏洞。目前，GitHub 頁面顯示該漏洞已於今日修復並將「bx seed」命令刪除。「bx seed」工具生成助記詞時，僅使用系統時間作為隨機性來源，因此「bx seed」只能生成約 40 億助記詞中的一個，攻擊者很容易重新生成這 40 億個助記詞。該團隊發現超過 2600 個基於不良「bx seed」熵、活躍度高的比特幣錢包，其中在 2018 年都有相似的小額存款。Cake Wallet 與 Trust Wallet 也存在類似漏洞，其他錢包沒有受到該漏洞影響。該漏洞於 5 月 3 日已被駭客利用，最嚴重的盜竊發生於 7 月 12 日，共有 29.65 枚 BTC 被盜，價值約 87 萬美元。該文稱，至少約 90 萬美元被盜資產已被轉移。同時，不僅是 BTC，ETH、XRP、DOGE、SOL、LTC、BCH、ZEC 代幣均確認被盜。

原文連結