Eine Sicherheitslücke namens Randstorm gefährdet Millionen alter Kryptowallets. Sie könnten auch ohne viel Rechenleistung gecrackt werden.
Randstorm wird die neue, eigentlich alte Sicherheitslücke genannt, die alte Wallets betrifft, die in einem bestimmten Zeitraum generiert wurden. Alt deshalb, weil sie schon seit ca. 2011 besteht. Neu, weil Unciphered, eine Krypto-Datenrettungsfirma, sie kürzlich wiederentdeckt und daran geforscht hat.
Randstorm als Name für eine Sammlung von problematischen Dingen
Randstorm ist laut Unciphered keine einzelne Schwachstelle, sondern vielmehr eine Kombination aus verschiedenen Problemen. Es geht unter anderem um eine Bitcoin-Implementierung in Javascript namens BitcoinJS oder auch bitcoinjs-lib. Diese äußerst beliebte Library hatte allerdings Sicherheitsprobleme. Der Zufallszahlengenerator sowie eine dazugehörige Entropiefunktion konnten durch einen Bug nur schwache Zufallszahlen ausgeben, teils deutlich kürzer als 48 bit.
Ein weiteres Problem kam hinzu, weil die damals (2009) bevorzugte Funktion window.crypto.random kein Standardbestandteil in den zu dieser Zeit üblichen Browsern war. Wurde sie aufgerufen, die Funktion aber nicht vorhanden, schlug der Aufruf ohne Fehlermeldung fehl und benutzte stattdessen die bestenfalls rudimentäre Funktion Math.random(), welche ungeeignet für kryptographische Zwecke ist. Zudem war sie in den damaligen Browsern, etwa von 2011-2015, stark problembehaftet. All dies (und noch mehr) kombiniert ergibt Randstorm.
Ah ja. Raufasertapete.
Vereinfacht gesagt: Hast du dein Wallet im Zeitraum von 2011-2015 generiert, solltest du ein neues erstellen und deine Coins verschieben. Du kannst dein Wallet auch auf Randstorm testen lassen auf einer von Unciphered eingerichteten Seite, die sich hier befindet. Ab 2016 erstellte Wallets sind nicht betroffen. Die geschätzte Zahl betroffener Kryptowallets beläuft sich auf einige Millionen Stück laut Unciphered. Auch deren Inhalt ist beeindruckend; zusammengerechnet befinden sich vorsichtig geschätzt ein bis zwei Milliarden US-Dollar auf diesen Wallets.
Weiterführende Informationen rund um Randstorm sowie eine weniger technische Zusammenfassung und ein FAQ finden sich hier. Wer stattdessen einen ausführlicheren technischen Einblick in die Lücke haben möchte, der kann hier weiterlesen. Da befindet sich auch eine grobe Übersicht von vermutlich verwundbaren Wallets. Unciphered weist klar darauf hin, dass die Lücke ausnutzbar ist. Demnach sollte man, wenn man alte Wallets hat, sie zumindest prüfen lassen.