Die Schwachstelle betrifft den Mechanismus, mit dem Libbitcoin Explorer beim Erzeugen einer Kryptowährungs-Wallet den Zufallswert (Entropie) als Startwert bildet. Statt eines kryptografisch sicheren Zufallsgenerators kommt ein Mersenne-Twister-Generator (mt19937) zum Einsatz, dessen interner Zufallszustand unabhängig von den gewählten Einstellungen auf nur 32 Bit beschränkt ist. Dieser Wertebereich ist so klein, dass er sich vollständig durchprobieren lässt. Dadurch kann ein Angreifer aus der Ferne den privaten Schlüssel jeder Wallet rekonstruieren, deren Startwert über die Entropieausgabe des Werkzeugs “bx seed” erzeugt wurde – und mit diesem Schlüssel unmittelbar über das darin verwahrte Guthaben verfügen und es entwenden. Betroffen sind alle Wallets, deren Seed auf diese Weise generiert wurde; die enthaltenen Mittel gelten als kompromittiert und müssen in eine neu erzeugte, sichere Wallet übertragen werden. Der Fehler wurde bereits aktiv ausgenutzt.
CVE-2023-39910
7,5
HIGH
CVSS Basis-Score
Beschreibung