Взломанный биткоин Redditor — урок о скрытых опасностях бумажных кошельков

Пользователь Reddit стал последним примером того, почему пользователям криптовалюты следует быть более осторожными при использовании генераторов кошельков — после того, как пользователь потерял биткоин (BTC) на несколько тысяч долларов из своего «безопасного» бумажного кошелька.

24 июля пользователь Reddit под ником /jdmcnair разместил в сабреддите r/Bitcoin сообщение с просьбой объяснить, как хакер мог украсть биткоин на сумму более 3000 долларов из их якобы безопасного бумажного кошелька, который даже был сгенерирован наавтономный компьютер.

«Я занимался самостоятельным хранением, сгенерировал свой ключ и распечатал его на бумаге на автономном компьютере, перевел свои BTC в этот автономный кошелек и сохранил его в сейфе, ключ от которого есть только у меня», — написал пользователь.

«Я думал, что храню его одним из наиболее безопасных способов».

В обновлении своего первоначального поста Redditor сообщил, что они использовали инструмент создания кошелька walletgenerator.net для создания закрытых ключей своего кошелька, которые, как отметили некоторые пользователи, в прошлом были печально известны своими уязвимостями.

В беседе с Cointelegraph директор по безопасности CertiK компании по обеспечению безопасности блокчейн Хью Брукс сказал, что пользователи должны дважды подумать, прежде чем использовать генератор кошелька криптовалюты.

По словам Брукса, такие генераторы онлайн-кошельков уже некоторое время служат жизнеспособным инструментом взлома:

«Некоторые из этих генераторов кошельков могут быть откровенным мошенничеством. Веб-сайт, который утверждается в сообщении, возвращает IP-адрес в России. Глядя на такой инструмент, как Criminal IP, мы видим, что на этот адрес было подано несколько сообщений о злоупотреблениях».

Генераторы бумажных кошельков, как известно, содержат серьезные уязвимости с 2019 года, сказал Брукс, добавив, что если кто-то создал кошельки с помощью walletgenerator.net, то, вероятно, «одни и те же ключи были переданы разным пользователям».

Эксплойт генератора кошелька Profanity был хрестоматийным примером этой уязвимости в системе безопасности, которая привела к взлому алгоритмического маркетмейкера Wintermute на 160 миллионов долларов в сентябре.

По словам Брукса, решение простое. Пользователи, которым нужно безопасное хранилище криптовалюты, должны использовать «надежного поставщика аппаратных кошельков, такого как Ledger и Trezor».

Связанный: почти 1 миллион долларов в криптовалюте украдены из-за эксплойта тщеславия

Redditor был сбит с толку тем, почему эксплуататор ждал более 12 месяцев, чтобы использовать средства, что побудило другого предложить возможное объяснение.

«[Хакеры] ждут, пока достаточно нубов подумают, что они сгенерировали безопасные закрытые ключи, ждут, пока они внесут значительные суммы, а затем, в один прекрасный день, уводят все средства, поэтому нет времени реагировать на сообщения о взломе сайта. ».

В связи с внезапным увеличением количества проснувшихся биткоин-кошельков, многие из которых имеют миллионы средств, некоторые эксперты считают, что это связано со взломом генераторов кошельков.

Unpopular cryptocurrency opinion: the fact that wallet generators can be cracked and people can lose their funds with no recourse is terrifying. I’m going to tell you what I believe to be the answer, and I know the “make everything decentralized” crew will hate it

— Jesse Hynes (@jesse_hynes) April 25, 2023

По данным CertiK, хакерам удалось украсть более 300 миллионов долларов во втором квартале 2023 года, что на 58% меньше, чем за тот же период прошлого года.