Seguido das vulnerabilidades na TrustWallet, a galera encontrou a origem: um PRNG (pseudo-random number generator) da libbitcoin..
A falha existia desde 2017, mas carteiras de 2014 também podem estar expostas.
Quem quiser ler sobre a descoberta, há um
resumo, um
relatório completo e uma
matéria em português.. no mês passado os caras esvaziaram 1.200 carteiras em uma única transação, segundo
relato no Reddit, confirmado pelos caras que divulgaram a nota.
Postei nessa aba porque poucos devem ter sido afetados (basicamente quem leu o Mastering Bitcoin e seguiu um tutorial ali para criar uma carteira), então o assunto é mais técnico:
If you know you generated your wallet with bx 3.0.0 or higher (after ca. March 2017)
If you know you generated your wallet with a CLI tool and don’t remember which tool
O nome da vulnerabilidade é Milk Sad porque eram as 2 primeiras palavras das seeds de 24 palavras idênticas que eles geraram nos testes.