Найдена тотальная уязвимость в биткоин-кошельках (блокчейне bitcoin)


уязвимость в биткоин-кошельках

Приватные ключи Bitcoin – это не абсолютная защита для виртуального кошелька с криптовалютой. Заголовки новостных СМИ уже несколько раз сообщали о найденных уязвимостях.


Существующие прецеденты


О том, что очередной группе хакеров удалось найти приватный ключ от кошелька с Биткоинами, воспользовавшись уязвимостью сервиса, сообщалось не раз. В основных «дырах» криптовалютных платформ нужно разобраться подробнее.


Сервис генерации бумажных кошельков


Генератор приватных и публичных ключей (адресов) Биткоина WalletGenerator предлагал пользователям завести бумажные кошельки, пароли которых узнать невозможно. Но все бумажники, созданные с середины августа 2018 года, скомпрометированы.


По словам программистов, которые обнаружили уязвимость, функция создания приватных и публичных ключей оказалась фикцией. На самом деле сервис не генерировал «рандомные» комбинации из чисел и букв.


Информация, предоставленная пользователю, заносилась в базы сайта заранее в виде графических файлов. Любой человек, имеющий доступ к этим изображениям, может получить криптовалюту пользователей.


Сервис BitPay


Усомниться в приватном ключе BTC стоит пользователям, которые установили кошелек Copay от процессингового сервиса BitPay. Скомпрометированы данные бумажников, зарегистрированных в период выхода версий 5.0.2-5.1.0.


Уязвимость связана с библиотекой Node.js, которая несла в себе вредоносный код, ворующий приватные ключи пользователей.


По словам разработчиков, жалоб от пользователей о том, что со счетов пропали деньги, не поступало. О том, как вредоносный код попал в программу, не сообщается.


Позже инвесторам предложили воспользоваться бумажником Copay в версии 5.2.0.


Взлом приложений на Андроиде


Приватные ключи блокчейна Биткоина скомпрометированы не только у пользователей кошелька Copay, но и у всех, кто скачивал бумажники, созданные для устройств с ОС Android.


Уязвимость кроется в языке программирования JavaScript. Криптографическая «дыра» позволяет украсть Биткоины с тех адресов, которые созданы с помощью SecureRandom. Злоумышленникам достаточно провести брутфорс, чтобы завладеть токенами.


Раньше функция SecureRandom активно использовалась инвесторами, так как других удобных сервисов для генерации адресов и паролей еще не было.


О том, что функция не генерирует числа случайным образом, впервые заявил один из разработчиков компании Linux. Позже слова эксперта подтвердил его коллега, работающий в Unix.


Достаточно авторитетные разработчики смогли поднять этот вопрос на широкое обсуждение в среде инвесторов, что стало причиной отказа большинства от кошельков, созданных на SecureRandom.


Самое слабое звено – человек


Нет большей уязвимости, чем сам человек. Известный хакер, Кевин Митник, провел эксперимент, в котором попытался доказать, что сможет взломать Биткоин-кошельки с хранящейся на них криптовалютой.


Для этого хакер попытался предсказать поведение человека в момент создания пароля.


В итоге поиск приватных ключей занял у Кевина всего две недели. Для достижения результата пришлось создать более 6 миллиардов возможных паролей. С адресами у хакера проблем не было, так как они в открытом доступе.


Методом перебора Кевин заработал более двух Биткоинов, большинство адресов оказались пустыми. На момент публикации его рассказа о быстром заработке 2,5 BTC оценивались в 16 000 долларов.


Уязвимостей у приватных ключей Биткоина достаточно. Но подобрать пароль к конкретному адресу практически невозможно, для этого придется перебрать все возможные варианты.


К примеру, для этого подходит ресурс с базой приватных ключей Bitcoin. Он содержит в себе ключи от всех кошельков для хранения монет ETH и BTC. Тем не менее найти необходимые данные трудно, так как их очень много. Листайте список по порядку или открывайте в произвольном формате.


Читать другие статьи