Unciphered的详尽22个月调查揭露了BitcoinJS存在的一个重大缺陷，这是一个广泛使用的基于浏览器的加密货币钱包生成工具。这个缺陷源自JSBN JavaScript库中的SecureRandom函数，再加上主要浏览器的Math.random实现存在的弱点。这一漏洞影响了2011年至2015年创建的钱包，使它们容易受到攻击，早期的钱包更容易受到攻击。

Unciphered披露称，他们已经与各方合作，向数百万用户发出警告，提醒他们存在这一漏洞。对于在受影响的钱包中拥有资产的个人，建议立即采取行动：使用可靠的软件将资产转移到新生成的钱包中。这一积极的举措对于保护数字资产免受潜在的利用至关重要。

这一漏洞首次在团队为一个被锁定在Blockchain.com比特币钱包外的客户进行项目时浮出水面。这导致了对2011年至2015年间由BitcoinJS生成的钱包潜在问题的重新发现。其影响是巨大的，可能影响在此期间生成的数百万加密货币钱包，其中包含大量资产面临风险。

这一漏洞源自BitcoinJS对JSBN库的SecureRandom函数的使用方式。这个函数的缺陷，特别是在熵收集和伪随机数生成器（PRNG）方面，导致了一个情况，攻击者可能会恢复密钥材料。SecureRandom函数未能有效利用浏览器的加密功能，而是依赖于更弱的随机数生成方法，加剧了这一问题。

这一情况至关重要，因为比特币私钥需要256位的熵，但生成时的熵不足。这一漏洞的影响程度不同，一些钱包更容易受到攻击。然而，随着时间的推移，已经实施了一些缓解措施，比如增加额外的熵源，降低了新钱包的风险。

这一漏洞不仅限于比特币，还可能影响狗狗币、莱特币和zcash的钱包。从BitcoinJS派生其代码的各种钱包服务和项目，包括像Dogechain.info和Blockchain.info这样的热门服务，也可能受到影响。这凸显了这一漏洞对多种加密货币的广泛影响。

Unciphered的研究人员详细说明，历史上，第三方库依赖经常导致软件开发中的漏洞。类似问题也出现在其他项目中，比如Debian平台上的OpenSSL。BitcoinJS及其生态系统目前的情况就是这种软件开发中持续风险的一个例证，尤其是在保护金融资产和敏感信息方面。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。