Nøgle-gætte blockchain-bandit er opdaget i sikkerhedsforskning

En bandithistorie af kryptovaluta -typen var en populær vare på teknologiske websteder i denne uge, med svimlende mængder penge samlet af en blockchain -bandit, og opdaget af sikkerhedskonsulenter, Uafhængige sikkerhedsvurderere.

Svagheden kommer fra dårligt implementeret generering af private nøgler, lette tyveri af kryptokurrency. Banditten gætter på private nøgler - og banditten scorer millioner.

Forskere opdagede 732 aktivt brugte private nøgler på Ethereum blockchain. "Vores forskning søgte at lokalisere Ethereum -adresser baseret på brugen af ​​svage nøgler, og for at undersøge, hvordan disse adresser bruges, "sagde teamet i deres papir. (Ethereum -projektet bruger elliptisk kurve -kryptografi til at generere det offentlige/private nøglepar.)

I processen, og detaljeret af Andy Greenberg i Kablet , forskerne fandt ud af, at kryptovaluta -brugere i de sidste par år har gemt deres kryptoskat med hundredvis af let nøjagtige private nøgler. De afslørede også en bandit.

Hvordan fandt forskerne nøglerne? Programmeringsfejl i software, der genererede de private nøgler. "Disse private nøgler er ikke tilstrækkeligt tilfældige, hvilket gør det trivielt for en computer at brute force og til sidst gætte, "sagde ISE -bloggen.

"En enkelt Ethereum -konto ser ud til at have hævet en formue på 45, 000 ether-på et tidspunkt mere end 50 millioner dollars værd-ved hjælp af de samme tricks til gættning af nøgler. "

Deres video bemærker:"Mens vi undersøgte nøglegenerering om Ethereums blockchain, opdagede vi, at midler fra svage private nøgleadresser blev pileret af nogen. Den 01/13/18, denne blockchain bandit havde en balance på 37, 926 ETH værdiansat til 54 millioner dollars. "

ISE opdagede 732 private nøgler samt deres tilhørende offentlige nøgler. De skrev om deres metode i deres papir. De sagde, "i stedet for at forsøge at brutal tvinge søgning efter tilfældige private nøgler, vi udtænkte måder at opdage nøgler, der kan være blevet genereret ved hjælp af defekt kode, defekte generatorer for tilfældige tal, eller en kombination af begge. "

Adrian Bednarek, sikkerhedskonsulent, som citeret i Kablet . "Hvem end denne fyr eller disse fyre er, de bruger meget computertid på at snuse til nye tegnebøger, ser hver transaktion, og se om de har nøglen til dem. "

ISE udsendte en række anbefalinger baseret på deres forskningsresultater, herunder disse. Brug en kryptografisk sikker pseudo-tilfældig talgenerator i stedet for bare en hvilken som helst pseudo-tilfældig talgenerator; revisionskildekode og resulterende kompileret kode for at verificere tilfældigt genererede nøgler ikke afkortes eller bliver misdannede af fejlbehæftede arbejdsgange, der interagerer med dem; generer ikke private nøgler baseret på adgangssætninger, aka hjerne tegnebøger - da folk har en tendens til at bruge let gættelige adgangssætninger.

Som vigtigt, dette er ikke en engangs eskapade. Tyverierne er i gang.

ISEs blog sagde:"banditten ser ud til at drive en igangværende kampagne for at plyndre kryptovalutaer fra tegnebøger, der stammer fra svage private nøgler. ISE -forskere lagde bevidst en ETH værd i en amerikansk dollar i en svag privat nøgle afledt tegnebog og var vidne til, at inden for få sekunder, ETH blev overført ud og ind i bandittens tegnebog. "

Hvem kunne gøre dette? Bednarek har ingen reel idé om, hvem blockchain -banditten kan være, skrev Greenberg. "Jeg ville ikke blive overrasket, hvis det er en statsskuespiller, ligesom Nordkorea, men det er bare spekulationer sagde Bednarek.

© 2019 Science X Network