比特幣私鑰生成命令行工具 “bx seed” 存在弱隨機性的重大漏洞，現已修復

ChainCatcher 消息，milksad.info 團隊發文稱，7 月 21 日發現比特幣 libbitcoin-explorer（命令行工具 bx）中存在一個名為"milk sad"重大漏洞。目前，GitHub 頁面已顯示該漏洞已於今日修復並將"bx seed"命令刪除。

"bx seed"工具生成助記詞時，僅使用系統時間作為隨機性來源，因此"bx seed"只能生成約 40 億助記詞中的一個，攻擊者很容易重新生成這 40 億個助記詞。該團隊發現超過 2600 個基於"bx seed"熵、活躍度高的比特幣錢包，其中在 2018 年都有相似的小額存款。Cake Wallet 與 Trust Wallet 也存在類似漏洞，其他錢包沒有受到該漏洞影響。

該漏洞於 5 月 3 日已被黑客利用，最嚴重的盜竊發生於 7 月 12 日，共有 29.65 枚 BTC 被盜，價值約 87 萬美元。該文稱，至少約 90 萬美元被盜資產已被轉移。同時，不僅是 BTC，ETH、XRP、DOGE、SOL、LTC、BCH、ZEC 代幣均確認被盜。該文稱，當其將技術漏洞詳細信息於披露背景發送給 Libbitcoin 團隊時，它們兩次回覆均不認為這是一個漏洞。同時，"bx seed"也出現在《Mastering Bitcoin》一書中，該書此前亦未警告用戶"bx seed"不能生成安全隨機數，mildsad 團隊已通知該書作者以進行修改。