Nel 2020, 127.000 BTC del valore di circa 1,27 miliardi appartenenti a Chen Zhi (il capo del gruppo di frode informatica/telefona-truffa) sono stati rubati; oggi questa quota vale circa 15 miliardi di dollari. Nel ottobre 2025, le autorità statunitensi hanno rivelato che non hanno ottenuto le chiavi private tramite attacchi hacker o forzature violente, ma hanno scoperto un difetto di casualità letale nella generazione di queste chiavi private.
Nome della vulnerabilità: il team di ricerca sulla sicurezza ha chiamato questa vulnerabilità “Milk Sad”, in base al difetto del generatore di numeri pseudo-casuali dello strumento bx (Libbitcoin Explorer). Non è stato colpito solo il pool minerario Lubian, ma anche portafogli di versioni precedenti come Trust Wallet.
2. Principio della vulnerabilità: perché una “chiave privata non casuale” porta al furto?
La sicurezza delle chiavi private di Bitcoin si basa su 256 bit di entropia (casualità): teoricamente, la probabilità di una compromissione tramite enumerazione è quasi pari a zero. Ma nella vulnerabilità “Milk Sad” la generazione delle chiavi private presenta i seguenti problemi critici:
1. Generatore di casualità debole: lo strumento bx e le prime versioni di Trust Wallet usano l’algoritmo Mersenne Twister-32, invece di un generatore di numeri casuali forte conforme agli standard crittografici.
2. Fonte di seed unica: il seed della chiave privata dipende solo da un timestamp Unix a 32 bit (risoluzione in millisecondi del sistema), facendo crollare l’entropia da 256 a 32 bit. Tutte le possibili chiavi private risultano quindi nell’ordine di circa 4,3 miliardi.
3. Decifrabile tramite enumerazione: l’attaccante deve solo scorrere tutti i timestamp in millisecondi durante il periodo in cui la vulnerabilità era presente, generare le chiavi private corrispondenti e così individuare le chiavi private di tutti gli indirizzi interessati, arrivando a controllare le risorse.
Indirizzi interessati: una stima non completa indica che oltre 220.000 indirizzi Bitcoin sono stati colpiti da questa vulnerabilità. L’elenco completo degli indirizzi è stato pubblicato ( git.distrust.co/milksad/data ).
Rischio continuo: fino a oggi, alcuni utenti continuano a inviare fondi a questi indirizzi vulnerabili; gli hacker continuano a rubare risorse enumerando le chiavi private. È come “tenere aperta una porta del caveau pubblica”.
Altri casi: anche un portafoglio iniziale di una delle principali borse nazionali ha presentato un problema simile. Le chiavi private venivano generate tramite timestamp Unix, causando il furto di moltissimi utenti; in seguito la vulnerabilità è stata corretta, ma la causa del furto è stata attribuita a “scarsa gestione delle chiavi private da parte degli utenti”.
- La casualità forte è sicura: se le chiavi private vengono generate tramite un generatore di numeri casuali forte conforme agli standard crittografici (ad esempio combinando entropia hardware, input dell’utente e rumore di sistema proveniente da più fonti di entropia), la sicurezza dei 256 bit di entropia non può essere compromessa con forza bruta.
#量子威胁 #量子计算
Nome della vulnerabilità: il team di ricerca sulla sicurezza ha chiamato questa vulnerabilità “Milk Sad”, in base al difetto del generatore di numeri pseudo-casuali dello strumento bx (Libbitcoin Explorer). Non è stato colpito solo il pool minerario Lubian, ma anche portafogli di versioni precedenti come Trust Wallet.
2. Principio della vulnerabilità: perché una “chiave privata non casuale” porta al furto?
La sicurezza delle chiavi private di Bitcoin si basa su 256 bit di entropia (casualità): teoricamente, la probabilità di una compromissione tramite enumerazione è quasi pari a zero. Ma nella vulnerabilità “Milk Sad” la generazione delle chiavi private presenta i seguenti problemi critici:
1. Generatore di casualità debole: lo strumento bx e le prime versioni di Trust Wallet usano l’algoritmo Mersenne Twister-32, invece di un generatore di numeri casuali forte conforme agli standard crittografici.
2. Fonte di seed unica: il seed della chiave privata dipende solo da un timestamp Unix a 32 bit (risoluzione in millisecondi del sistema), facendo crollare l’entropia da 256 a 32 bit. Tutte le possibili chiavi private risultano quindi nell’ordine di circa 4,3 miliardi.
3. Decifrabile tramite enumerazione: l’attaccante deve solo scorrere tutti i timestamp in millisecondi durante il periodo in cui la vulnerabilità era presente, generare le chiavi private corrispondenti e così individuare le chiavi private di tutti gli indirizzi interessati, arrivando a controllare le risorse.
Indirizzi interessati: una stima non completa indica che oltre 220.000 indirizzi Bitcoin sono stati colpiti da questa vulnerabilità. L’elenco completo degli indirizzi è stato pubblicato ( git.distrust.co/milksad/data ).
Rischio continuo: fino a oggi, alcuni utenti continuano a inviare fondi a questi indirizzi vulnerabili; gli hacker continuano a rubare risorse enumerando le chiavi private. È come “tenere aperta una porta del caveau pubblica”.
Altri casi: anche un portafoglio iniziale di una delle principali borse nazionali ha presentato un problema simile. Le chiavi private venivano generate tramite timestamp Unix, causando il furto di moltissimi utenti; in seguito la vulnerabilità è stata corretta, ma la causa del furto è stata attribuita a “scarsa gestione delle chiavi private da parte degli utenti”.
- La casualità forte è sicura: se le chiavi private vengono generate tramite un generatore di numeri casuali forte conforme agli standard crittografici (ad esempio combinando entropia hardware, input dell’utente e rumore di sistema proveniente da più fonti di entropia), la sicurezza dei 256 bit di entropia non può essere compromessa con forza bruta.
#量子威胁 #量子计算