Bitcoin-käyttäjän varojen menetys
Bitcoin-käyttäjä menetti varojaan lähettäessään kryptovaluuttaa vaarantuneeseen lompakkoon, joka käytti lohkopalkkion transaktiotunnistetta yksityisenä avaimena. Lohkopalkkion transaktiotunniste lohkosta 924,982 toimi lompakon yksityisenä avaimena, mikä loi turvallisuusvajeen, joka laukaisi automatisoitua bottitoimintaa, kertoo kryptovaluutta julkaisu Protos.
Automatisoidut bottitoiminnot
Tapahtuma sai aikaan automatisoitujen tietokoneohjelmien, jotka olivat yhteydessä Bitcoinin muistialueeseen tai mempooliin odottavista transaktioista, kilpailemaan varoista. Nämä botit havaitsevat automaattisesti talletukset vaarantuneisiin lompakoihin ja lähettävät replace-by-fee-transaktioita ylittääkseen kilpailevien ohjelmien maksut kaivostyöläisten nostotapahtumista.
Ilmoitetussa tapauksessa 0.84 BTC lähetettiin ja menetettiin osoitteeseen, jossa oli ei-satunnainen yksityinen avain, joka oli johdettu lohkon coinbase-tunnisteesta, blockchain-datan mukaan.
Yksityisten avainten turvallisuus
Yksityiset avaimet edustavat kaikkein kriittisintä turvallisuuselementtiä bitcoin-varojen suojaamisessa. Kun yksityinen avain on paljastettu tai johdettu yleisistä datamalleista, varastaminen tapahtuu tyypillisesti välittömästi, kertovat kryptovaluutta turvallisuusasiantuntijat.
Monet vaarantuneet lompakot, joissa on ei-satunnaisia yksityisiä avaimia, käyttävät siemenlauseita, joissa on ennakoitavia malleja, mukaan lukien toistuvat sanat kuten ”salasana”, ”bitcoin” tai ”hylkää”, kertovat turvallisuustutkijat. Mikä tahansa ei-satunnainen malli, jossa ei ole todellista entropiaa, voi paljastaa yksityisen avaimen ja mahdollistaa automatisoitujen järjestelmien tyhjentää talletukset vastaavalle julkiselle avaimelle.
Ei-satunnaisuuden vaikutus
Tapahtuma osoittaa, että ei-satunnaisuus voi ulottua yksinkertaisten sanamallien ulkopuolelle, mukaan lukien julkiset tiedot, jotka on tallennettu Bitcoinin kirjanpitoon, kuten lohkopalkkioiden transaktiotunnisteet. Yksityisten avainten luomisessa mekaanisen entropian puute voi mahdollistaa bruteforce-hyökkäykset ja vaarantaa varojen turvallisuuden, kertovat kryptografia-asiantuntijat.
Yksityisen avaimen hashaminen transaktiotunnisteen kautta ei tarjoa riittävää entropiaa turvalliseen yksityisen avaimen tallentamiseen, tapahtuma havainnollistaa.
Kaivostyöläiset ja muut mempoolin havainnoijat voivat seurata transaktiotunnisteita ei-satunnaisuuden varalta ja yrittää lähettää varastamistransaktioita paljastetuilla yksityisillä avaimilla, kertovat blockchain-turvallisuusasiantuntijat.
