Bitcoin-bruger mister midler til kompromitteret wallet
En Bitcoin-bruger mistede midler efter at have sendt kryptovaluta til en kompromitteret wallet, der brugte en transaktionsidentifikator fra en coinbase block reward som sin private nøgle. Transaktionsidentifikatoren fra Coinbase for blok 924,982 fungerede som den private nøgle for wallet’en, hvilket skabte en sikkerhedssårbarhed, der udløste automatiseret bot-aktivitet, ifølge kryptovaluta-publikationen Protos.
Automatiserede bots og tyveri
Hændelsen fik automatiserede computerprogrammer tilknyttet Bitcoins hukommelsespulje, eller mempool, af ventende transaktioner til at konkurrere om midlerne. Disse bots registrerer automatisk indskud i kompromitterede wallets og sender replace-by-fee-transaktioner for at overbyde konkurrerende programmeres gebyrer til minearbejdere for udbetalingstransaktioner.
I det rapporterede tilfælde blev 0,84 BTC sendt og mistet til en adresse med en ikke-tilfældig privat nøgle afledt fra en blocks coinbase-identifikator, ifølge blockchain-data.
De automatiserede systemer anvender replace-by-fee-mekanismer til gradvist at øge transaktionsgebyrerne i konkurrence med andre bots. I nogle tilfælde betaler børnetransaktioner op til 99,9% af transaktionsværdien i gebyrer, ifølge observatører, der overvåger sådan aktivitet.
Vigtigheden af private nøgler
Private nøgler repræsenterer det mest kritiske sikkerhedselement for beskyttelse af bitcoin-beholdninger. Når en privat nøgle bliver eksponeret eller afledt fra almindelige datamønstre, sker tyveri typisk straks, ifølge eksperter inden for kryptovalutasikkerhed.
Mange kompromitterede wallets med ikke-tilfældige private nøgler bruger seed-sætninger med forudsigelige mønstre, herunder gentagne ord som “password,” “bitcoin,” eller “abandon,” ifølge sikkerhedsforskere. Ethvert ikke-tilfældigt mønster, der mangler ægte entropi, kan eksponere en privat nøgle og muliggøre automatiserede systemer til at tømme indskud til den tilsvarende offentlige nøgle.
Konklusion
Hændelsen demonstrerer, at ikke-tilfældighed kan strække sig ud over enkle ordmønstre til at inkludere offentlig information registreret på Bitcoin-bogen, såsom transaktionsidentifikatorer for block rewards. Manglende introduktion af mekanisk entropi ved generering af private nøgler kan muliggøre brute-force angreb og kompromittere fondsikkerheden, ifølge kryptografi-eksperter.
Hashing af en privat nøgle via en transaktionsidentifier giver ikke tilstrækkelig entropi til sikker opbevaring af private nøgler, illustrerer hændelsen. Minearbejdere og andre mempool-observatører kan overvåge transaktionsidentifikatorer for ikke-tilfældighed og forsøge at sende tyveritransaktioner ved hjælp af eksponerede private nøgler, ifølge blockchain-sikkerhedsanalyset.
