BitMEX Research: Хакеры могут похитить биткоины со слабого brainwallet за считанные секунды

В новом исследовании аналитики BitMEX Research рассмотрели концепцию «кошелька в голове» (brainwallet). Многие сторонники биткоина часто приводят brainwallet в качестве хорошего метода защиты средств от возможной конфискации. Беженцам, к примеру, нужно всего лишь запомнить кодовую фразу для доступа к своему биткоин-кошельку. Таким образом, активы на миллионы долларов могут «храниться» в памяти человека.

Пользователь brainwallet может выбрать популярную фразу, взять её хеш sha256 и затем использовать его в качестве закрытого ключа для генерации биткоин-адреса. Аналитики BitMEX в качестве эксперимента создали восемь таких кошельков.

В таблице ниже показаны кошельки, созданные на основе фраз популярных художественных произведений и других опубликованных материалов. Ни один из кошельков раньше не использовался. Исследователи отправили по 0.005 BTC на каждый адрес.

Все средства были выведены в течение дня. Примечательно, что три депозита были сметены еще до того, как транзакция была подтверждена в блокчейне. В одном случае независимая нода биткоина показала, что транзакция в выводом средств произошла всего через 0.670 секунды после того, как исходная транзакция оказалась в мемпуле. Это чрезвычайно быстрое сканирование применялось к адресу с кодовой фразой Call me Ishmael (первая фраза романа «Моби-Дик»).

В таблице ниже показано, как быстро были выведены оставшиеся средства (четыре вывода через 22 блока; на адрес с текстом из whitepaper биткоина ушло 80 блоков).

Интересно, что транзакции вывода имели относительно высокие комиссии. Это может указывать на то, что новый владелец монет участвует в гонке с другими хакерами.

Скорость и характер вывода ясно указывают на то, что есть серверы, которые сканируют блокчейн на предмет слабых brainwallet в режиме 24/7. Хакеры, вероятно, заранее сгенерировали сотни тысяч биткоин-адресов, используя текст из тысяч опубликованных работ, музыки, книг, научных статей, журналов, блогов, твитов и других источников информации, а затем сохранили их в своей базе данных.

Аналитики провели «простой анализ» дальнейших переводов этих монет и предположили, что часть из них была отравлена на биржу HitBTC.

«Основной вывод здесь прост: НЕ используйте brainwallet на основе опубликованных материалов. В реальном мире, если кто-то (включая беженца) имеет доступ к биткоинам, то он, вероятно, также имеет доступ к интернету, и поэтому более безопасным способом хранения монет может стать отправка себе по электронной почте зашифрованной резервной копии кошелька. В таком случае фраза шифрования не будет мгновенно подвергаться атаке, однако такой способ не рекомендуется использовать для долгосрочного хранения из-за риска взлома почты.

Но если вы имеете четкое представление о возможных рисках и о том, как работают злоумышленники, то вы можете относительно безопасно использовать brainwallet. Например, вы можете объединить фрагменты текста из нескольких художественных произведений с днями рождения в вашей семье, вашим номером телефона и хотя бы одним случайным источником информации. Пожалуйста, не относитесь к этому примеру как к совету. Суть в том, что за счет объединения множества различных категорий информации можно создать более безопасный brainwallet», ― заключили аналитики.