Системный архитектор взломал сид-фразу и чуть менее чем за полчаса выиграл вознаграждение в размере 100 000 сатоши или 0,001 биткоина (BTC) стоимостью 29 долларов. Коинтелеграф поговорил с Эндрю Фрейзером в Бостоне, который подчеркнул, насколько важно обеспечить безопасность исходной фразы биткоин-кошелька и оффлайн.
Исходная фраза или фраза восстановления — это строка случайных слов, сгенерированных при создании кошелька, который может получить доступ к кошельку, подобно мастер-ключу. Fraser brute вынудил сид-фразу из 12 слов, которой преподаватель Биткоин «Wicked Bitcoin» поделился в Твиттере:
Anyone want to try and brute force this 12-word seed phrase securing 100,000 sats? I’ll give you all 12 words but in no particular order. Standard derivation path m/84'/0'/0'…no fancy tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Wicked (@w_s_bitcoin) April 26, 2023
Как показано, Wicked’s Tweet предложил пользователям расшифровать правильный порядок исходной фразы из 12 слов.
«Кто-нибудь хочет попробовать брутфорс этой сид-фразы из 12 слов, обеспечивающей 100 000 сатошей? Я дам вам все 12 слов, но в произвольном порядке. Стандартный путь вывода m/84’/0’/0’… никаких причудливых уловок. ГЛ.
Потребовалось всего 25 минут, чтобы разблокировать 100 000 сатоши или чуть меньше 30 долларов. Инцидент служит своевременным напоминанием пользователям Биткоин и энтузиастам криптовалюты о том, что нужно серьезно относиться к безопасности криптовалюты.
Фрейзер взломал код с помощью BTCrecover, программного приложения, доступного на GitHub. Программное обеспечение предлагает ряд инструментов, которые могут определять исходные фразы с отсутствующими или зашифрованными мнемониками, а также утилиты для взлома паролей. В личных сообщениях в Твиттере Фрейзер сказал Cointelegraph:
«Мой игровой графический процессор смог определить правильный порядок исходной фразы примерно за 25 минут. Хотя более мощная система сделала бы это намного быстрее».
Он отметил, что любой, у кого есть базовые знания о запуске скриптов Python, использовании командной оболочки Windows и понимании протокола Биткоин, особенно мнемоники BIP39, должен быть в состоянии повторить его успех.
Коинтелеграф запросил Фрейзера о безопасности начальных ключей из 12 слов. Фрейзер объяснил, что они «совершенно безопасны, если слова остаются неизвестными злоумышленнику или в пути создания кошелька используется парольная фраза «13-е начальное слово».
Кроме того, он подчеркнул превосходную безопасность начальных ключей из 24 слов.
«Даже если бы злоумышленник знал неверные слова вашего начального ключа из 24 слов, у него никогда не было бы надежды обнаружить правильное начальное число».
Фрейзер разобрал расчеты энтропии, чтобы объяснить разницу в безопасности между двумя типами начальных ключей. Начальное число из 12 слов имеет примерно 128 бит энтропии, а начальное число из 24 слов может похвастаться 256 битами. Когда злоумышленник знает неупорядоченные слова начального числа из 12 слов, существует всего около полумиллиарда возможных комбинаций, что относительно легко проверить с помощью приличного графического процессора. Однако начальное число из 24 слов имеет примерно 6,24 ^ 24 возможных комбинаций — и это много нулей.
Связанный: Худшие места для хранения исходной фразы вашего кошелька криптовалюты
Даже вероятность того, что злоумышленник взломает исходную фразу из 12 слов, граничит с абсурдом. Исходные фразы из 24 слов могут быть лучше, но, как указывает Wicked в пост-мортеме испытания исходной фразы;«Это не будет взломано».
In the off chance that someone finds your seed phrase cut up and out of order, then yes lol.
— Wicked (@w_s_bitcoin) April 27, 2023
В конечном счете, это своевременное напоминание читателям о том, что сид-фразы никогда не публикуются и не разглашаются в Интернете. Это означает, что исходную фразу нельзя хранить в менеджере паролей, облачном хранилище, и уж точно не следует вводить ее в телефон.
Фрейзер также подчеркнул важность сохранения секретных ключей и использования парольной фразы, которая действует как часть пути деривации. Что касается 100 000 сатошей, которые Фрейзер забрал домой?Фрейзер написал в Твиттере, что в тот вечер он потратил их на ужин: курица Марсала. Расскажите об экономике замкнутого цикла.
