Afbeelding: Pixabay
Zo lang als cryptocurrency bestaat, zo zal ook de uitzonderlijke lengte die dieven zullen gaan om te proberen te stelen. Helaas, dat ook azen op zwakke private sleutels, een methode die duidelijk maakte een crypto bandit stinkend rijk met miljoenen in het gehaald Ethereum.
Dit was de toevallige ontdekking door security experts met de firma Onafhankelijke Security Beoordelaars tijdens het uitvoeren van een assessment voor een cryptocurrency opdrachtgever. Ze onderzocht een aantal van de zwakke private sleutels—begin met de dom eenvoudige toets van 0x01—en ontdekt op de blockchain dat de bijbehorende portefeuille had geledigd, zoals het geval was met honderden van dezelfde eenvoudige toetsen. Een ‘blockchain bandiet”, die zij vonden, was getijdenwerking Ethereum van deze toetsen.
Om te zien hoe snel hun bandit aan het werk was, stuurden ze het equivalent van een dollar waard van de cryptocurrency naar het mailadres dat is gekoppeld aan een van deze zwakke private sleutels en vond dat de bandit direct verzonden naar een ander account. Door het beheer te vegen Ethereum met behulp van deze raden zijn zwakke sleutels, de bandit—of, eventueel, een groep geleid om een fortuin te vergaren.
“We ontdekten dat geld van deze zwak-toets adressen worden pilfered en verzonden naar een adres van de bestemming van een individu of groep met een actieve campagne om een compromis/verzamelen van persoonlijke sleutels en het verkrijgen van deze fondsen,” ze schreef in een artikel over hun bevindingen gepubliceerd dinsdag. “Op januari 13, 2018, deze ‘blockchainbandit’ hield een saldo van 37,926 ETH gewaardeerd op $54,343,407.”
Er zijn een paar manieren die deze zwakke sleutels zijn gegenereerd. De ISE onderzoekers schreven dat het mogelijk is een codering fout afgekapt zijn van een langere sleutel, of als ISE senior security analist Adrian Bednarek legde Vast, eventueel door een portemonnee die gebruikers laten kiezen hun eigen toetsen.
“Hoewel het onwaarschijnlijk is dat een zwakke sleutel ooit zou worden gegenereerd onder legitieme omstandigheden met behulp van de juiste code paden, wij de hypothese dat de zwakke private sleutels kan nog worden gegenereerd door het coderen van fouten, of het besturingssysteem, apparaat en de uitvoering van het milieu-fouten, en dat deze problemen komen vaak voor,” ISE onderzoekers schreven in hun paper.
Bednarek vertelde Bedrade hij heeft geen idee van de identiteit van het brein achter deze Ethereum-looting werking, hoewel hij zei Vast: “hij zou niet verbaasd zijn als het een statelijke actor, zoals Noord-Korea, maar dat is slechts speculatie.” Ook de ISE team niet kan bepalen welke portefeuilles zijn geassocieerd met de zwakke sleutels, alleen dat ze worden beroofd, grote yikes. Maar in het geval dat de dader is gevestigd in een natie die volgt op het internationale recht, ze kan zich in grote problemen als ze besluiten om het geld in een traceerbare manier. En laten we eerlijk zijn, de meeste cryptocurrencies zijn veel meer traceerbaar dan hun reputatie impliceert.
Dit moet een wake-up call voor zowel portemonnee ontwikkelaars als de gebruikers, die Bednarek gezegd moet ervoor zorgen dat ze je gebruik van een vertrouwde portemonnee.
Deel Dit Verhaal