{"id":30738,"date":"2023-12-11T16:31:34","date_gmt":"2023-12-11T14:31:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30738"},"modified":"2023-12-11T16:31:34","modified_gmt":"2023-12-11T14:31:34","slug":"vulnerability-in-hot-cryptowallets-from-2011-2015","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/vulnerability-in-hot-cryptowallets-from-2011-2015\/30738\/","title":{"rendered":"Randstorm: verwundbare Krypto-Wallets aus den 2010er Jahren"},"content":{"rendered":"

Forscher haben mehrere Schwachstellen in der Bibliothek BitcoinJS entdeckt, durch die Bitcoin-Wallets, die vor einem Jahrzehnt online erstellt wurden, anf\u00e4llig f\u00fcr Hackerangriffe sein k\u00f6nnen. Das Grundproblem: Die privaten Schl\u00fcssel f\u00fcr diese Krypto-Wallets wurden mit viel gr\u00f6\u00dferer Vorhersehbarkeit generiert, als die Entwickler der Bibliothek damals erwartet hatten.<\/p>\n

Randstorm-Schwachstellen und deren Folgen<\/h2>\n

Aber sch\u00f6n der Reihe nach. Forscher von Unciphered, einem Unternehmen, das auf die Wiederherstellung des Zugriffs auf Krypto-Wallets spezialisiert ist, haben eine Reihe von Schwachstellen in der JavaScript-Bibliothek BitcoinJS entdeckt und beschrieben<\/a>, die von vielen Online-Krypto-Plattformen verwendet wurde. Zu diesen Diensten geh\u00f6ren einige sehr beliebte Dienste, allen voran Blockchain.info, inzwischen bekannt als Blockchain.com. Die Forscher tauften diese Schwachstellen Randstorm.<\/p>\n

Obwohl die Schwachstellen in der BitcoinJS-Bibliothek bereits 2014 behoben wurden, bleibt das Problem f\u00fcr die Ergebnisse der Verwendung dieser Bibliothek bestehen: Krypto-Wallets, die Anfang der 2010er Jahre mit BitcoinJS erstellt wurden, sind m\u00f6glicherweise unsicher \u2013 es ist viel einfacher, die privaten Schl\u00fcssel herauszufinden, als die zugrunde liegende Bitcoin-Kryptografie vermuten l\u00e4sst.<\/p>\n

Die Forscher sch\u00e4tzen, dass mehrere Millionen Wallets im Gesamtwert von rund 1,4 Millionen BTC durch Randstorm potenziell gef\u00e4hrdet sind. Von den potenziell verwundbaren<\/em> Wallets sind den Forschern zufolge drei bis f\u00fcnf Prozent tats\u00e4chlich anf\u00e4llig<\/em> f\u00fcr echte Angriffe. Basierend auf dem gesch\u00e4tzten Bitcoin-Wechselkurs von etwa 36.500 US-Dollar zum Zeitpunkt der Ver\u00f6ffentlichung w\u00fcrde dies eine Gesamtbeute von 1,5 bis 2,5 Milliarden US-Dollar bedeuten, falls Angreifer Randstorm erfolgreich ausnutzen k\u00f6nnten.<\/p>\n

Die Forscher bekr\u00e4ftigen, dass die Randstorm-Schwachstellen tats\u00e4chlich f\u00fcr Angriffe auf Krypto-Wallets genutzt werden k\u00f6nnen. Dar\u00fcber hinaus nutzten sie selbst diese Schwachstellen erfolgreich aus, um den Zugriff auf mehrere Krypto-Wallets wiederherzustellen, die vor M\u00e4rz 2012 auf Blockchain.info erstellt worden wurden. Aus ethischen Gr\u00fcnden ver\u00f6ffentlichten sie keinen Proof-of-Concept des Angriffs, sonst w\u00e4ren Zehntausende Krypto-Wallets einem direkten Diebstahlrisiko ausgesetzt gewesen.<\/p>\n

Die Forscher haben bereits die Online-Dienste f\u00fcr Kryptow\u00e4hrungen benachrichtigt, von denen bekannt ist, dass sie damals verwundbare Versionen der BitcoinJS-Bibliothek eingesetzt haben. Diese Dienste wiederum informierten Kunden, die von Randstorm betroffen sein k\u00f6nnten.<\/p>\n

Die Funktionsweise der Randstorm-Schwachstellen<\/h2>\n

Sehen wir uns nun genauer an, wie diese Schwachstellen praktisch funktionieren. Das Herzst\u00fcck der Sicherheit von Bitcoin-Wallets ist der private Schl\u00fcssel. Wie jedes moderne kryptografische System ist Bitcoin darauf angewiesen, dass dieser Schl\u00fcssel geheim und nicht zu knacken ist. Auch hier werden, wie in jedem modernen kryptografischen System, sehr lange Zufallszahlen verwendet.<\/p>\n

Und wenn Daten durch einen privaten Schl\u00fcssel gesch\u00fctzt werden, muss dieser aus Sicherheitsgr\u00fcnden m\u00f6glichst zuf\u00e4llig sein. Je vorhersehbarer die als Schl\u00fcssel verwendete Zahl ist, desto einfacher und schneller kommt ein Angreifer, der \u00fcber Informationen zum Verfahren der Schl\u00fcsselgenerierung verf\u00fcgt, mit Brute-Force-Angriffen zum Ziel.<\/p>\n

Denken Sie daran, dass das Generieren einer echten<\/em> Zufallszahl kein Kinderspiel ist<\/a>. Und Computer sind f\u00fcr diese Aufgabe von Natur aus \u00e4u\u00dferst ungeeignet. Sie verhalten sich nun einmal h\u00f6chst vorhersehbar. Daher geht es hier normalerweise um Pseudozufallszahlen<\/em>. Und um die Entropie<\/em> (so nennt man in der Kryptografie das Ma\u00df der Unvorhersehbarkeit) bei der Generierung zu erh\u00f6hen, werden spezielle Funktionen eingesetzt.<\/p>\n

Doch nun zur\u00fcck zur Bibliothek BitcoinJS. Um \u201equalitativ hochwertige\u201c Pseudozufallszahlen zu erhalten, verwendet diese Bibliothek eine andere JavaScript-Bibliothek namens JSBN (JavaScript Big Number) und ganz speziell deren Funktion SecureRandom<\/em>. Wie der Name schon sagt, wurde diese Funktion entwickelt, um Pseudozufallszahlen zu generieren, die sich f\u00fcr die Verwendung in der Kryptografie eignen. Um die Entropie dieser Zahlen zu erh\u00f6hen, verwendet SecureRandom<\/em> die Browserfunktion window.crypto.random<\/em>.<\/p>\n

Und eben hier liegt das Problem: Obwohl die Funktion window.crypto.random<\/em> in der Browserfamilie Netscape Navigator 4.x vorhanden war, waren diese Browser bereits veraltet, als Webservices mit der aktiven Verwendung der BitcoinJS-Bibliothek begannen. Und in den damals g\u00e4ngigen Browsern Internet Explorer, Google Chrome, Mozilla Firefox und Apple Safari war die Funktion window.crypto.random<\/em> \u00fcberhaupt nicht implementiert.<\/p>\n

Leider hatten die Entwickler der JSBN-Bibliothek vergessen, eine \u00dcberpr\u00fcfung oder entsprechende Fehlermeldung vorzusehen. Darum \u00fcbersprang die SecureRandom<\/em>-Funktion den Schritt zur Erh\u00f6hung der Entropie einfach und \u00fcberlie\u00df die Aufgabe, private Schl\u00fcssel zu erstellen, dem standardm\u00e4\u00dfigen Pseudozufallszahlen-Generator Math.random<\/em>.<\/p>\n

Dies ist schon an sich schlecht, da Math.random<\/em> nicht f\u00fcr kryptografische Zwecke geeignet ist<\/a>. Es kommt aber noch schlimmer: Die Math.random<\/em>-Implementierung in den g\u00e4ngigen Browsern der Jahre 2011 bis 2015, insbesondere in Google Chrome<\/a>, enthielt Fehler. Dadurch wurden noch weniger Zufallszahlen verwendet als eigentlich vorgesehen.<\/p>\n

Die Bibliothek BitcoinJS wiederum \u00fcbernahm alle oben genannten Probleme von JSBN. Als Folge erhielten Plattformen, die auf diese Weise private Schl\u00fcssel f\u00fcr Krypto-Wallets generierten, viel weniger Zufallszahlen von der SecureRandom-Funktion, als die Entwickler der Bibliothek erwartet hatten. Und da diese Schl\u00fcssel mit hoher Vorhersehbarkeit generiert wurden, sind sie viel einfacher durch Brute-Force-Angriffe zu knacken und anf\u00e4llige Krypto-Wallets k\u00f6nnen gekapert werden.<\/p>\n

Wie bereits erw\u00e4hnt, sind das nicht nur theoretische \u00dcberlegungen, sondern eine ganz praktische Gefahr \u2013 dem Unciphered-Team gelang es, diese Schwachstellen auszunutzen, um den Zugriff auf mehrere alte Krypto-Wallets, die auf Blockchain.info erstellt worden waren, wiederherzustellen (d.\u00a0h. legal zu hacken).<\/p>\n

Wer ist von Randstorm bedroht?<\/h2>\n

BitcoinJS nutzte die anf\u00e4llige JSBN-Bibliothek seit ihrer Einf\u00fchrung im Jahr 2011 bis 2014. Einige Kryptow\u00e4hrungsprojekte verwendeten jedoch m\u00f6glicherweise auch noch sp\u00e4ter eine veraltete Version der Bibliothek. Die Fehler, die Math.random in g\u00e4ngigen Browsern betrafen, wurden bis 2016 durch ge\u00e4nderte Algorithmen zur Erzeugung von Pseudozufallszahlen behoben. Insgesamt ergibt sich also ein ungef\u00e4hrer Zeitraum von 2011 bis 2015, in dem potenziell verwundbare Krypto-Wallets erstellt wurden.<\/p>\n

Die Forscher betonen, dass BitcoinJS Anfang der 2010er Jahre sehr beliebt war, sodass es schwierig ist, eine vollst\u00e4ndige Liste der Dienste zu erstellen, die m\u00f6glicherweise eine anf\u00e4llige Version einsetzten. Der Bericht enth\u00e4lt eine Liste der Plattformen, die als gef\u00e4hrdet eingestuft wurden:<\/p>\n