Foto: Marc Bruxelle/Shutterstock
De afgelopen tijd was er geen gebrek aan beveiligingskwetsbaarheden waar de crypto-industrie last van had. Eind vorige week was een wallet van Binance aan de beurt, en begin dit jaar ging het gerucht dat hackers stokoude bitcoin wallets leeg wisten te roven. Het lijkt erop dat dit niet zo onrealistisch is als je zou denken.
Oude Bitcoin wallets liggen bloot voor hacks
In een persbericht schrijft crypto-beveiligingsbedrijf Unciphered over een nieuw ontdekt beveiligingsprobleem in de oeroude BitcoinJS-software. Met BitcoinJS kun je walletadressen voor Bitcoin genereren.
De tool is volgens Unciphered tussen 2011 en 2015 erg veel gebruikt en geïntegreerd in de software van crypto-dienstverleners, wat betekent dat er nog steeds veel walletadressen zullen zijn die met deze software zijn gemaakt.
Volgens het beveiligingsbedrijf stelt een kwetsbaarheid in de Javascript-software je in staat om de private keys te ontfutselen. Het programma zou deze beveiligingssleutels met complete willekeur moeten genereren, maar dat was voor BitcoinJS niet helemaal het geval.
Dat betekent dat er talloze bitcoin-wallets zullen zijn die door hackers kunnen worden leeggeroofd. De onderzoekers hebben aangetoond dat het probleem reproduceerbaar is en dus dat de wallets ook in de praktijk kwetsbaar zijn.
Sommige andere crypto lopen ook gevaar
Unciphered noemt geen specifiek aantal, maar het zou nog steeds om een substantieel aantal gaan. Het is bekend dat meer dan een miljoen walletgebruikers de software hebben gebruikt, maar het is niet duidelijk hoeveel van deze wallets nu nog gebruikt worden.
In ieder geval zijn er nog steeds grote spelers in de crypto-industrie die de wallets gebruiken, zoals Bitcore, Bitgo, Blockchain.com. Ook zijn er verschillende altcoins die hetzelfde programmaatje hebben gebruikt, zoals Dogecoin (DOGE), Litecoin (LTC) en Zcash (ZEC).
Het beveiligingsbedrijf illustreert gekscherend dat Bitcoins infrastructuur is gebouwd als een soort kaartenhuis. Gelukkig zijn niet alle wallets kwetsbaar, en wallets die in 2014 zijn opgezet zijn minder gemakkelijk te hacken dan adressen die hun oorsprong vinden in 2012. Unciphered waarschuwd in zijn artikel:
“Als je een persoon bent die vóór 2016 een wallet voor eigen bitcoin beheer heeft aangemaakt met behulp van een webbrowser, overweeg dan je geld over te zetten naar een nieuwere wallet die is gegenereerd door vertrouwde software.”
