“Blokčein bandit” je ukrao skoro 45.000 ETH-a nasumičnim pogađanjem slabih privatnih ključeva

“Blokčein bandit” je uspeo da ukrade skoro 45.000 itera (ETH) tako što je uspešno pogodio slabe privatne ključeve, navodi se u izveštaju koji su objavili nezavisni evaluatori bezbednosti 23. aprila.

Adrian Bednarek, viši sigurnosni analitičar, izjavio je da je slučajno otkrio hakera. Dok je nasumično pogađanje privatnog ključa statistički neverovatno, uspeo je da otkrije 732 privatna ključa kroz svoje istraživanje – dajući mu mogućnost da izvrši transakcije kao da je vlasnik naloga.

U izveštaju se napominje da je umesto traženja nasumičnih privatnih ključeva silom, koristio kombinaciju traženja neispravnog koda i neispravnih generatora slučajnih brojeva.

Bednarek je tada primetio da su neki novčanici koji su povezani sa privatnim ključevima koji su pronađeni njihovim suboptimalnim metodama imali velike količine transakcija koje idu na jednu adresu, bez povratne transakcije. Bednarek je rekao:

“Bio je neki tip koji je imao adresu koja je izvlačila novac iz nekih od ključeva kojima smo imali pristup. Pronašli smo 735 privatnih ključeva, on je slučajno uzeo novac od 12 ključeva kojima smo takođe imali pristup. Statistički je neverovatno da bi slučajno mogao da pogodi te ključeve, tako da je verovatno radio istu stvar […] da je u osnovi krao sredstva čim su došli u novčanike korisnika.”

U trenutku kada je iter vredeo najviše, procenjuje se da bi njegov plen vredeo preko 50 miliona dolara. U vreme pisanja, sredstva vrede približno 7,8 miliona dolara.

Prema Bednareku, privatni ključevi su možda bili ranjivi zbog grešaka kodiranja u softveru odgovornom za njihovo generisanje. Druga teorija je da vlasnici kriptovaluta koji dobijaju privatne ključeve preko lozinki generišu identične pomoću slabih unosa kao što su “abc123”, ili čak nemaju lozinke.

Iako je identitet blokčein bandita nepoznat, Bednarek je sugerisao da državni akter kao što je Severna Koreja može biti iza krađe. U martu je izveštaj Savet bezbednosti UN-a tvrdio da je Severna Koreja prikupila 670 miliona dolara u fiatu i kriptovalutama putem hakerskih napada dok pokušava da zaobiđe ekonomske sankcije.


Ovaj post je originalno objavljen na ovom sajtu.
Share On Facebook
Share On Twitter
Share On Linkedin
Share On Reddit
Inline
Inline