Pressemeldungen

Bösartige bitcoin wallet generation software kann bekannte private schlüssel produzieren

Pressemeldungen Bösartige bitcoin wallet generation software kann bekannte private schlüssel produzieren

Ein anonymer Benutzer auf Pastebin hat Beweise geliefert, dass einige Wallet-Software generieren kann Private Schlüssel, die leicht erkennbar sind und daher leicht Bitcoins, die mit dieser Adresse verbunden sind, aufnehmen können. Es gibt kein Wort darüber, welche Wallet-Software möglicherweise betroffen ist, noch, ob dies ein böswilliger Akt oder ein einfacher Codierungsfehler ist.


TL; DR - Scrollen Sie zum letzten Unterabschnitt

Was ist ein privater Schlüssel?

Ich werde ein wenig Hintergrundwissen geben und einige Begriffe für diejenigen erklären, die nicht wissen, wie Bitcoin unter der Haube funktioniert. Die erste Sache ist ein privater Schlüssel. Wenn Sie Ihre Bitcoin-Wallet-Adresse als eine Sperre betrachten, ist der private Schlüssel der Schlüssel, der zum Entsperren und zum Ausgeben der Geldmittel verwendet wird.

Wenn Sie eine Brieftasche auf Ihrem Gerät erstellen, sei es auf einem Computer oder Telefon oder was auch immer, erzeugt es tatsächlich eine zufällige Menge von Buchstaben und Zahlen (auch bekannt als "Zeichenfolge") Privat Schlüssel. Ihr privater Schlüssel ist das einzige, was Ihnen legitimen Besitz Ihrer Münzen gibt. Die Kontrolle über Ihren privaten Schlüssel ermöglicht es Ihnen, die Münzen in Ihrem Geldbeutel auszugeben. Ein beispielhafter privater Schlüssel sieht so aus:

6c951c460a4cfe5483863adacafad59e5de7e55876a21857733ca94049d7d10c

Sobald Ihr privater Schlüssel generiert ist, wird er durch eine Hash-Funktion ausgeführt. Eine Hash-Funktion ist eine mathematische Funktion, die, wenn Sie eine Zahl oder eine Zeichenfolge eingeben, eine andere Zeichenfolge zurückgibt, die keine Beziehung zurück zur ersten Zahl / Zeichenfolge hat. Es ist sehr einfach, die zweite Zahl von der ersten zu finden, aber mathematisch unmöglich, die erste von der zweiten zu finden. Der Grund dafür ist, dass die schiere Anzahl möglicher privater Schlüssel so groß ist, dass sie die Anzahl der Sekunden seit dem Anbruch des Universums um mehrere Größenordnungen übersteigt. Diese zweite Nummer ist als Ihr öffentlicher Schlüssel bekannt und wird erneut gehashed, um Ihnen Ihre Bitcoin-Wallet-Adressen zu geben. Sie können hier klicken, um weitere Informationen zur Funktionsweise von privaten Schlüsseln, öffentlichen Schlüsseln und Brieftaschen zu erhalten.

"Ermitteln" eines privaten Schlüssels

Weiter zum eigentlichen Vorgang. Da ein privater Schlüssel buchstäblich alles sein kann, könnte man technisch jeden Satz oder jede Folge von Zahlen und Buchstaben nehmen und ihn als Schlüssel verwenden. Sie könnten einfach alles in die Hash-Funktion werfen und die Brieftasche generieren. Der öffentliche Schlüssel wäre davon abgeleitet und du wärst auf dem Weg. Dies wird im Allgemeinen nicht empfohlen, da es folgt, wenn Sie an Ihren privaten Schlüssel denken können, so kann jemand anderes. Es wäre nicht wirklich zufällig, was benötigt wird, um eine sichere Brieftasche zu erstellen.

BrainWallet. io hat ein raffiniertes Werkzeug, mit dem Benutzer eingeben können, was immer sie möchten, und daraus einen privaten Schlüssel / ein öffentliches Schlüsselpaar ableiten. Da es sich bei der Blockchain um ein offenes öffentliches Hauptbuch handelt, können Sie sich einige Adressen ansehen, die aus gängigen Phrasen abgeleitet wurden. Jemand verwendete "satoshi nakamoto" , um eine Brieftasche zu erstellen, und an die zugehörigen Adressen wurden kleine Mengen Bitcoins gesendet, die jedoch sofort wieder gelöscht wurden.Andere Sätze wie " Ich finde deinen Mangel an Vertrauen stört " und " das sind nicht die Droiden, nach denen du suchst " wurden auch mit einer kleinen Transaktion versehen. Es gibt keinen Grund, diese als Schlüssel zu benutzen, weil sie unsicher sind, aber die Leute haben Münzen geschickt, nur um eine Marke an der Blockchain zu hinterlassen.

Anonym Pastebin Guy notiert:

Wenn Sie in die Blockchain schauen, werden Sie feststellen, dass Leute mit der Kette "gespielt" haben, indem sie kleine Mengen Bitcoins an Adressen senden, die privaten Schlüsseln entsprechen, die mit Sha256 generiert wurden waren _meant_ zu finden. Es stellt sich heraus, dass es viele dieser Adressen gibt. (Schauen Sie weiter und Sie werden leicht einige finden.) Dies ist nichts Neues und ist der Bitcoin-Community schon seit einiger Zeit bekannt.

Der Benutzer, der diese Ergebnisse veröffentlicht hat, der sich dafür entschieden hat, anonym zu bleiben, geht viel tiefer in das Kaninchenloch. Er fing an, über andere Wege nachzudenken, private private Schlüssel zu "entdecken", und lud einen kompletten Index aller Bitcoin-Adressen herunter, die auf der Blockchain öffentlich verfügbar waren, und begann verschiedene Dinge zu versuchen, Schlüssel zu entdecken, denen möglicherweise ein paar Bits zugeordnet waren. Es war eine Art Haustierprojekt.

Private Schlüssel zum Finden von Bitcoins testen

Der Pastebin-Benutzer begann mit Daten, die in der Blockchain öffentlich verfügbar sind, um zu sehen, ob einige von ihnen zum Erstellen von Brieftaschen verwendet wurden. Er benutzte Blockhashes für jeden Block seit dem Genesis-Block, Merkle-Wurzeln von jedem Block, häufige Wörter und Sätze, die mehrfach gehackt worden waren, und begann schließlich, alle Bitcoin-Adressen zu testen. Die meisten Analysen aller Bitcoin-Adressen betreffen nur Adressen mit nicht ausgegebenen Salden, aber er entschied sich auch für Adressen mit einem Saldo von Null.

Bei seinem ersten Experiment wurde jeder Block-Hash überprüft, um festzustellen, ob einer von ihnen als privater Schlüssel verwendet wurde. Dies ist eine Art cleverer Weg, sich an Ihren privaten Schlüssel zu erinnern, da Sie nur die Blocknummer kennen müssen, um Ihren Schlüssel wiederherstellen zu können. Tatsächlich gab es über vierzig Adressen, die in den vergangenen sieben Jahren einmal Bitcoins geschickt hatten. Alle von ihnen waren lange gefegt worden, aber der Benutzer entschied, weiter zu untersuchen.

Er benutzte dann die Merkle-Wurzeln einiger Blöcke, um nach entdeckbaren Schlüsseln zu suchen, und fand wieder Adressen, an die Münzen geschickt worden waren. Leider waren die Bilanzen gleich Null, aber die Jagd wurde heisser. Das dritte Experiment wurde mit häufig verwendeten Wörtern getestet, die mehrfach gehasht wurden, z. B. " Hallo " oder " Absender ". Die Hashes dieser Wörter werden dann wieder und wieder gehashed, was eine weitere Ebene zusätzlicher Sicherheit und viel weniger eine Chance gibt, dass der Schlüssel entdeckt wird. Wenn Sie ein Wort einmal hacken können, können Sie es millionenfach tun. " hallo" wurde gehashed, und dieser Hash wurde immer wieder hashed und schließlich erzeugte er einen privaten Schlüssel, der verwendet worden war. Es wurden mehrere Adressen gefunden, die die Methode verwenden, bei der alle Transaktionen zu einem bestimmten Zeitpunkt an sie gesendet wurden.Eines der lustigsten ist meiner Meinung nach das Wort " password" , das nach dem Hashtag von 1, 975 Mal einen gültigen privaten Schlüssel erhält, an den Geld gesendet wurde. Es ist sehr wahrscheinlich, dass der Schöpfer dieser Adresse in diesem Jahr geboren wurde.

Im letzten Experiment hat der Benutzer angefangen, einige Fragen zu stellen. Er nahm seinen Index aller Bitcoin-Adressen und testete jede öffentliche Adresse, um zu sehen, ob sie als privater Schlüssel benutzt worden war. Und wieder suchte er einen Bruchteil der Blockchain und fand Dutzende von Adressen. Der Unterschied zu vielen von ihnen bestand darin, dass sie die mit ihnen verbundenen Bitcoins innerhalb der letzten Wochen oder Tage erhalten und geleert hatten.

Die Idee, eine öffentliche Adresse als öffentlichen Schlüssel zu verwenden, macht keinen Sinn und ist sehr riskant, weil sie erkennbar ist. Diese Adressen erhielten Bitcoin und nahmen es innerhalb von Minuten oder Stunden nach der Bestätigung. An diesem Punkt begann Anonymous Pastebin Guy etwas Fischiges zu riechen.

Also, was geht hier vor?

Pastebin Guy behauptet, dass einige Drittanbieter-Wallet-Sicherheitsdienste wie ein Mining-Pool, eine Glücksspiel-Website oder nur eine einfache Web-Brieftasche möglicherweise schädlichen Code in ihrem Back-End haben, der generiert wird Private Schlüssel basierend auf öffentlichen Adressen, die es jemandem erlauben, die mit der Adresse assoziierten Münzen als privaten Schlüssel zu stehlen, sind öffentliches Wissen über die Blockchain. Er sagt weiter, dass dieser Code schon seit Jahren funktioniert und Bitcoins die ganze Zeit über ausgeschöpft werden. Er macht jedoch auch deutlich, dass es eine Chance gibt, dass dies ein Fehler im System ist, der nicht zufällige private Schlüssel erzeugt. Der Benutzer hat einen Bot erstellt, der ständig diese Adressen scannt und alle Bitcoins abfängt, die an ihn gesendet wurden, und durch pures Glück hat er eine Transaktion von 9,5 Bitcoins an eine Adresse mit einem entdeckbaren privaten Schlüssel abgefangen. Leider funktionierte der Bot nicht wie erwartet und erzeugte keine Transaktion rechtzeitig. Die Bitcoins wurden aus der Brieftasche geholt und zu ihrem nächsten Ziel gebracht. Er fing jedoch an, sehr verdächtig zu werden und fuhr fort, den Bot laufen zu lassen und bemerkte die gleiche "Sammlungsadresse", die für viele dieser Schlüsselentdeckungsmethoden verwendet wurde. Mindestens eine Adresse aus allen Methoden leitete Bitcoin Bit für Bit an denjenigen weiter, der dieses System kontrollierte. Er beobachtete, wie mehr als sechs Transaktionen pro Tag durch seine Datenbank mit privaten Schlüsseln erfolgten.

/ u / fitwear fehlt 9 BTC

Ein Reddit-Benutzer mit dem Namen / u / fitwear hat über seine Blockchain gepostet. info wallet wird gehackt und bekommt knapp neun Bitcoins gestohlen. Sie können den ursprünglichen Beitrag Reddit hier sehen. Blockchain. Die Antwort des Info-Supports war die typische Antwort "Dein Account muss kompromittiert worden sein", aber in Wirklichkeit hat / u / fitwear alles richtig gemacht. Ein gutes Passwort, eine korrekte Zwei-Faktor-Authentifizierung - nichts davon war wichtig, und die Münzen waren immer noch weg.

Der anonyme Benutzer aus dem Pastebin-Artikel konnte die 9 Bitcoins an einer Adresse finden, zu der er eine Kopie des privaten Schlüssels in seiner Datenbank hatte./ u / fitwear hatte Glück, und der Benutzer gab ihm die Münzen zurück, aber die weitere Untersuchung der Adresse erwies sich als bedenklich.

Laut / u / fitwear:

habe ich den Sicherheitsschlüssel in Blockchain eingegeben. Info auf meinem voll Sicherheit aktiviert 2fa Konto & manuell eingegeben alle Informationen zu vermeiden, kopieren und einfügen e. t. c ... Die 9 BTC haben mein Konto verlassen und meine neue Blockkettenmappe geknackt. Nach 4 Sekunden prallte es dann an eine zufällige Adresse, die ich nicht mit einer hohen Transaktionsgebühr verbunden bin, um es schnell durchzudrücken. Ich habe versucht, Support per E-Mail zu senden, und sie bestehen darauf, dass jemand meine Kontoinformationen haben muss, oder ich habe Malware, die mein Copy & Paste injiziert hat.

Ein kompromittierter Schlüssel konnte in die Blockchain von / u / fitwear importiert werden. Info Brieftasche. Einige nicht blockchain. info-verdammende Szenarien schließen ein, dass jemand sein Konto in der Vergangenheit kompromittiert hat und gerade Geld einfordert oder dass einige Browser-Malware die Blockchain beeinflusst hat. Info Brieftasche. Die Sache, die wirklich keinen Sinn macht, ist, dass wenn es sich um Malware handelt, es logisch ist, dass der Entwickler einen privaten Schlüssel aus einer privaten Information erzeugt, nicht nur aus einer zufälligen Adresse. Die Tatsache, dass es sich um eine zufällige Adresse handelt, gibt jedem, der an diesem System teilgenommen hat, eine Chance, die Münzen zu nehmen, bevor der Hacker sie in eine Brieftasche unter seiner Kontrolle schicken kann. Es summiert sich einfach nicht.

Der Code, der benötigt wird, um entdeckte private Schlüssel zu generieren, ist überraschend einfach - es sind nur ein paar Hash-Funktionen. Wenn es sich um einen Anbieter von Brieftaschen von Drittanbietern handelte, würde dieses bisschen Malware unter den Tausenden und Abertausenden von Codezeilen verborgen sein, aus denen sich ein Backend zusammensetzt. Außerdem würde diese Funktion während einer Code-Prüfung nicht zu viel Aufmerksamkeit auf sich ziehen, da sie nur eine öffentliche Adresse hasht. Daher das Versteck in Augenschein Analogie. Wenn die Malware so codiert wurde, dass ein privater Schlüssel erstellt wurde, den nur der Hacker und der Hacker kennen, wäre das viel verdächtiger als die Kodierung eines Schlüsselgenerierungssystems, das einen leicht zu entdeckenden privaten Schlüssel erzeugte.

Also, was jetzt? Sind Cryptocurrencies Screwed?

Obwohl diese Daten sehr bedenklich sind, ist Bitcoins zugrunde liegende Sicherheit nicht betroffen. 99, % der privaten Schlüssel, die generiert werden, werden zufällig generiert, und wenn ein Schlüssel mit einem angemessenen Grad an Entropie oder Zufälligkeit erzeugt wird, ist es statistisch unmöglich für jemanden, Ihre Schlüssel zu entdecken. Zurück zu der Anzahl von Sekunden seit der Geburt des Universumsbeispiels wäre der Versuch, einen zufällig generierten Schlüssel zu entdecken, wie der Versuch, eine bestimmte Sekunde aus allen Sekunden von damals bis jetzt zu erraten. Es ist lächerlich unwahrscheinlich, dass Sie sogar das gleiche Jahr erraten würden, geschweige denn denselben Monat, Tag, Stunde, Minute oder Sekunde.

Wenn Sie eine private Brieftasche verwenden, in der Sie die privaten Schlüssel steuern, sind Sie zu 100% nicht betroffen. Die Leute, die sich darüber Gedanken machen sollten, sind diejenigen, die Münzen besitzen, die von Dritten verwahrt werden, wie z. B. Geldbörsen oder Geldbörsen. Ich möchte jedoch sehr deutlich machen, dass

es ZERO direkte Beweise gibt, die Blockchain beweisen.info oder jemand anderes war direkt an dem Diebstahl von / u / fitwear beteiligt oder an irgendeiner anderen seltsamen Transaktion, die der Benutzer auf der Blockchain fand. Im Grunde genommen ruhen Sie sich einfach aus. Wenn Sie Ihre eigenen privaten Schlüssel kontrollieren und diese zufällig generiert wurden, haben Sie keine Chance, von diesem möglichen Angriffsvektor betroffen zu sein. Wenn Sie mehr über die Ergebnisse dieses Benutzers erfahren möchten, können Sie den gesamten Pastebin-Artikel hier lesen. Was denkst du über diesen möglichen Exploit? Sichern Sie Ihre Münzen entsprechend? Hast du noch Fragen? Lass es uns in den Kommentaren wissen!

Bilder mit freundlicher Genehmigung von blockchain. info, Wikimedia Commons, Pixabay

Beliebte Beiträge

Lassen Sie Ihren Kommentar