Crypto cybersecurity firm Unciphered has unearthed a decade-old crypto wallet bug affecting browser-based wallets generated between 2011 and 2015.

Das Krypto-Cybersicherheitsunternehmen Unciphered hat einen jahrzehntealten Krypto-Wallet-Fehler entdeckt, der browserbasierte Wallets betrifft, die zwischen 2011 und 2015 erstellt wurden.

The bug may allow nefarious actors to steal up to $2.1 billion from wallets on various networks, including Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC), and Zcash (ZEC).

Der Fehler kann es schändlichen Akteuren ermöglichen, bis zu 2,1 Milliarden US-Dollar aus Wallets verschiedener Netzwerke zu stehlen, darunter Bitcoin (BTC), Dogecoin (DOGE), Litecoin (LTC) und Zcash (ZEC).

Discovering An Ancient Bug

Entdeckung eines uralten Käfers

In an interview with the Wall Street Journal, the Unciphered team explained that they’d accidentally discovered the bug during a failed attempt to recover an early investor’s $600,000 in lost Bitcoin (BTC).

In einem Interview mit dem Wall Street Journal erklärte das Unciphered-Team, dass sie den Fehler zufällig bei einem gescheiterten Versuch entdeckt hätten, die 600.000 US-Dollar an verlorenem Bitcoin (BTC) eines frühen Investors zurückzugewinnen.

The entrepreneur, Nick Sullivan, created his Bitcoin wallet back in 2014 using the website Blockchain.info (since renamed to Blockchain.com). Later, he accidentally lost access to his coins after wiping his computer’s memory without remembering to record his wallet’s private key.

Der Unternehmer Nick Sullivan erstellte sein Bitcoin-Wallet bereits 2014 über die Website Blockchain.info (inzwischen umbenannt in Blockchain.com). Später verlor er versehentlich den Zugriff auf seine Münzen, nachdem er den Speicher seines Computers gelöscht hatte, ohne daran zu denken, den privaten Schlüssel seiner Brieftasche aufzuzeichnen.

At Sullivan’s request, Unciphered began searching for Sullivan’s coins in January 2022. Though they ultimately lacked enough information to get them back, they realized in the process that Blockchain.info’s code for creating random wallet keys – BitcoinJS – did not make all of its wallets random enough.

Auf Wunsch von Sullivan begann Unciphered im Januar 2022 mit der Suche nach Sullivans Coins. Obwohl ihnen letztendlich genügend Informationen fehlten, um sie zurückzubekommen, stellten sie dabei fest, dass der Code von Blockchain.info zum Erstellen zufälliger Wallet-Schlüssel – BitcoinJS – nicht alle Wallets erstellte zufällig genug.

“BitcoinJS is terribly broken up till March 2014,” said Unciphered co-founder Eric Michaud. “Anyone directly using it is on the very high end of risk to attack.”

„BitcoinJS ist bis März 2014 furchtbar kaputt“, sagte Unciphered-Mitbegründer Eric Michaud. „Jeder, der es direkt nutzt, ist einem sehr hohen Risiko eines Angriffs ausgesetzt.“

Another wallet site, Dogecoin.info, also used BitcoinJS, leaving many old Dogecoin users exposed to the same vulnerability.

Eine andere Wallet-Site, Dogecoin.info, nutzte ebenfalls BitcoinJS, wodurch viele alte Dogecoin-Benutzer derselben Schwachstelle ausgesetzt waren.

Unciphered claims that wallets made before March 2012 contain $100 million in assets that could easily be hacked by a home computer user. Another $50 billion is held in wallets created between then and 2015, of which at least $500 million is vulnerable.

Entschlüsselte Behauptungen, dass vor März 2012 erstellte Geldbörsen Vermögenswerte in Höhe von 100 Millionen US-Dollar enthielten, die von einem Heimcomputerbenutzer leicht gehackt werden könnten. Weitere 50 Milliarden US-Dollar befinden sich in Wallets, die zwischen diesem Zeitpunkt und 2015 erstellt wurden, von denen mindestens 500 Millionen US-Dollar gefährdet sind.

Cryptographers discovered flaws in wallet generation randomness back in 2014, and improved their methods since. Unciphered said it hadn’t discovered any wallets generated after 2016 suffering from weak randomness.

Kryptographen entdeckten bereits 2014 Fehler in der Zufälligkeit der Wallet-Generierung und haben seitdem ihre Methoden verbessert. Unciphered gab an, keine nach 2016 generierten Wallets entdeckt zu haben, die unter schwacher Zufälligkeit litten.

How to Tell Victims?

Wie kann man es den Opfern sagen?

Unciphered came public with the vulnerability this week, but has been quietly warning affected users that their assets are at risk for months.

Unciphered hat die Sicherheitslücke diese Woche öffentlich gemacht, warnt betroffene Benutzer jedoch seit Monaten stillschweigend, dass ihre Vermögenswerte gefährdet sind.

The challenge was convincing millions of victims to move their funds without revealing the vulnerability to thieves who would otherwise leverage it to steal coins.

Die Herausforderung bestand darin, Millionen von Opfern davon zu überzeugen, ihre Gelder zu transferieren, ohne die Verwundbarkeit für Diebe zu offenbaren, die es sonst nutzen würden, um Münzen zu stehlen.

Unciphered ultimately decided to go to the biggest site responsible for generating such wallets that might be in a position to discretely notify affected users. That site ended up being the one Sullivan used – Blockchain.com.

Unciphered entschied sich schließlich dafür, die größte Website zu besuchen, die für die Erstellung solcher Wallets verantwortlich ist und möglicherweise in der Lage ist, betroffene Benutzer diskret zu benachrichtigen. Letztendlich war es die Website, die Sullivan nutzte: Blockchain.com.

The site sent out emails to holders of over 1.1 million affected wallets and found a way to automatically update the wallets of anyone who visited its site.

Die Website verschickte E-Mails an Inhaber von über 1,1 Millionen betroffenen Wallets und fand eine Möglichkeit, die Wallets aller Besucher der Website automatisch zu aktualisieren.

“In crypto, you need to be pretty skeptical of people who call with something that sounds dramatic, because there are so many scammers,” Blockchain.com President Lane Kasselman said regarding Unciphered’s warning. “It was unclear who they were and what the scope of it was.”

„Bei Krypto muss man ziemlich skeptisch gegenüber Leuten sein, die mit etwas dramatisch klingendem Anruf anrufen, weil es so viele Betrüger gibt“, sagte Lane Kasselman, Präsident von Blockchain.com, in Bezug auf die Warnung von Unciphered. „Es war unklar, wer sie waren und welchen Umfang sie hatten.“

Many affected users still haven’t been warned directly since the sites they used to create their wallets are now out of business.

Viele betroffene Benutzer wurden immer noch nicht direkt gewarnt, da die Websites, auf denen sie ihre Wallets erstellt haben, inzwischen nicht mehr verfügbar sind.

The post Old Crypto Wallet Bug Puts $2.1 Billion At Risk: Unciphered appeared first on CryptoPotato.

Der Beitrag Old Crypto Wallet Bug bringt 2,1 Milliarden US-Dollar in Gefahr: Unciphered erschien zuerst auf CryptoPotato.