Theo tin tức từ BitouchNews, Nhóm milksad.info đã đưa ra một tài liệu cho biết rằng vào ngày 21 tháng 7, một lỗ hổng lớn có tên "milk sad" đã được phát hiện trong Bitcoin libbitcoin-explorer (công cụ dòng lệnh bx). Hiện tại, trang GitHub cho thấy lỗ hổng đã được khắc phục trong ngày hôm nay và lệnh "bx seed" đã bị loại bỏ.

Khi công cụ “bx seed” tạo khả năng ghi nhớ, nó chỉ sử dụng thời gian hệ thống làm nguồn ngẫu nhiên, do đó, “bx seed” chỉ có thể tạo một trong số khoảng 4 tỷ từ dễ nhớ và kẻ tấn công có thể dễ dàng ghi nhớ tái tạo 4 tỷ kỹ năng ghi nhớ này. Nhóm đã tìm thấy hơn 2.600 ví Bitcoin hoạt động mạnh dựa trên entropy "bx seed", tất cả đều có số tiền gửi nhỏ tương tự vào năm 2018. Cake Wallet và Trust Wallet cũng có lỗ hổng tương tự, các ví khác không bị ảnh hưởng bởi lỗ hổng này.

Lỗ hổng này đã bị tin tặc khai thác vào ngày 3 tháng 5 và vụ trộm nghiêm trọng nhất xảy ra vào ngày 12 tháng 7, với tổng số 29,65 BTC bị đánh cắp, trị giá khoảng 870.000 USD. Ít nhất khoảng 900.000 đô la tài sản bị đánh cắp đã được chuyển đi, tờ báo cho biết. Đồng thời, không chỉ BTC mà cả các token ETH, XRP, DOGE, SOL, LTC, BCH và ZEC đều được xác nhận là bị đánh cắp. Bài báo nói rằng khi nó gửi chi tiết về lỗ hổng kỹ thuật cho nhóm Libbitcoin trong bối cảnh tiết lộ, họ đã không trả lời hai lần rằng đó là một lỗ hổng. Đồng thời, "bx seed" cũng xuất hiện trong cuốn sách "Mastering Bitcoin". Cuốn sách không cảnh báo người dùng rằng "bx seed" không thể tạo ra các số ngẫu nhiên an toàn. Nhóm Mildsad đã thông báo cho tác giả của cuốn sách để thực hiện các thay đổi.