Vulnerabilità nei Portafogli Bitcoin a Causa di Libbitcoin Explorer
A causa di un bug noto nella libreria Libbitcoin Explorer (bx) 3.x, oltre 120.000 portafogli Bitcoin (BTC) a livello globale sono vulnerabili a potenziali attacchi informatici. Un principio di generazione di numeri casuali debole rende più facile per i malintenzionati indovinare le frasi seed. I ricercatori di sicurezza hanno condiviso alcuni semplici passaggi per proteggere i propri fondi.
Dettagli della Vulnerabilità
Scoperta per la prima volta nel novembre 2023, la vulnerabilità in Libbitcoin Explorer (bx) 3.x continua a rendere i portafogli BTC non custodial suscettibili ad attacchi di forza bruta. Un riepilogo del potenziale vettore di attacco è stato condiviso dal team del portafoglio OneKey il 17 ottobre 2025. È importante notare che la vulnerabilità emersa nell’incidente noto come “Milk Sad” non influisce sulla sicurezza mnemonica o sulla chiave privata di alcun portafoglio hardware o software OneKey.
Panoramica della Vulnerabilità
Il problema origina dalla libreria Libbitcoin Explorer (bx) 3.x, che generava numeri casuali utilizzando l’algoritmo Mersenne Twister-32, seminato solo dall’orario di sistema. Poiché lo spazio dei semi era limitato a 2³² valori, i numeri casuali generati risultavano più vulnerabili all’enumerazione di forza bruta. Di conseguenza, i portafogli creati con determinate versioni di Trust Wallet e direttamente con Libbitcoin Explorer (bx) 3.x possono essere compromessi dai malintenzionati.
In breve tempo, gli attaccanti possono derivare chiavi private: poiché lo spazio dei semi è così ridotto, un computer personale ad alte prestazioni può enumerare tutti i semi possibili in pochi giorni, consentendo agli attaccanti di prevedere le chiavi private generate in momenti arbitrari e rubare beni su larga scala. Pertanto, questa debolezza nel generatore di numeri casuali (RNG), nonostante sia nota da due anni, continua a influenzare gli utenti dei portafogli on-chain di Bitcoin (BTC).
Raccomandazioni per la Sicurezza
Per prevenire attacchi ai portafogli, gli utenti di indirizzi Bitcoin (BTC) non custodial creati con strumenti vulnerabili tra il 2017 e il 2023 dovrebbero trasferire i propri fondi in archivi più sicuri, protetti dalla tecnologia Cryptographically Secure Pseudo-Random Number Generator (CSPRNG). Inoltre, la generazione di nuove frasi seed — in particolare, seguendo le regole BIP 39 — potrebbe migliorare il livello di sicurezza dei portafogli Bitcoin (BTC).
Si raccomanda quindi di effettuare un audit di tutti i portafogli cartacei o hardware che potrebbero essere influenzati dalla vulnerabilità nota come “Milk Sad Case”. Nel caso di portafogli software, gli utenti dovrebbero sempre assicurarsi di utilizzare l’ultima versione del software e dei sistemi operativi.
