Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Содержание

Как взломать биткоин кошелек

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Криптовалюты изменили многие сферы экономики. Также они не обошли стороной и криминальные круга. У воров появилась новая сфера деятельности — взлом биткоин кошельков. Суммы похищенных биткоинов уже измеряются сотнями миллионов, а жертвами злоумышленников стали как крупные криптобиржи и майнеры, так и рядовые пользователи.

Данная статья создана с целью ознакомления владельцев криптовалют с возможными угрозами безопасности их сбережений. Материал не является руководством к действию и не призывает совершать неправомерные поступки.

Можно ли взломать биткоин кошелек

Утверждение о том, что сеть Биткоина надежно защищена с помощью криптографии и особого алгоритма достижения консенсуса, верно. В случае, когда приходится говорить о краже с биткоин кошелька, речь идет непосредственно о краже приватного ключа.

По аналогии это можно сравнить со сверхнадежным замком. Если вы установили такой на входной двери своей квартиры, но злоумышленнику удалось украсть ключ из кармана, то речь не идет о взломе замка и вине компании-производителя. Разработчики биткоина сделали все возможное, чтобы сеть имела высокую степень безопасности, пользователю остается обезопасить свой приватный ключ.

Истории уже известны множество примеров, когда обворованным оставались крупные криптобиржи и простые обыватели. Хакерами уже давно разработан комплекс действий, нацеленный на подбор пароля к биткоин кошельку посредством специальных программ, поиска уязвимостей или доверчивых пользователей.

Распространенные способы кражи биткоинов

Результат кражи биткоинов всегда неутешителен для владельца сбережений. Система конфиденциальна, в большинстве стран существует вне закона и не поддерживает обратимые транзакции. Несмотря на то, что в СМИ биткоин позиционируется как система высокой надежности, в ней можно выделить три основные уязвимости, к которым чаще всего прибегают хакеры.

Ошибка в коде

Сеть биткоина по сути представляет собой открытый программный код, над модернизацией которого работают профессиональные программисты с различных уголков планеты. Для того, чтобы внесение изменений в код было принято, его должны поддержать более чем половина всех узлов связи.

На текущий момент в программном коде биткоина не выявлено ни одной уязвимости, которая бы могла способствовать кражам в сети или привести к фатальным последствиям. Тем не менее, код постоянно модифицируется и потенциальная вероятность возникновения ошибки в коде остается.

Атака 51%

Атака, когда злоумышленник контролирует 51% мощности сети, считается основной проблемой биткоина и криптовалют в целом. Фактически, это захват блокчейна, при котором хакер имеет власть над всей сетью и получает возможность самолично подтверждать блоки транзакций атакующей стороны. Удерживая основную часть мощности злоумышленник сможет:

  • останавливать подтверждения транзакций;
  • совершать двойную трату;
  • препятствовать майнерам принимать правильные транзакции;
  • самолично принимать решение об изменении кода.

Главной защитой от такого взлома является высокая сложность сети, которая делает такую атаку экономически не выгодной. По подсчетам на 2018 год для проведения атаки 51% потребовалось бы техники на 4 миллиарда долларов и расходы на электроэнергию по 6-8 миллионов в день. Кроме того, такая атака наносит ущерб репутации криптовалюты, поэтому стоимость монеты в момент обесценится.

Кража и взлом приватного ключа

Открывая биткоин кошелек, каждому пользователю присваивается пара ключей:

  • публичный — платежный реквизит кошелька;
  • приватный, служащий паролем.

Ключи криптографически связаны между собой по алгоритму SHA-256. Хэш-функция является необратимой и формируется таким образом, чтобы по приватному ключу можно было отыскать публичный, но не наоборот.

Тем не менее, существует вероятность, что приватный ключ может быть подобран перебором чисел.

Ученые подсчитали, что для этого потребуется перебрать вариантов на число с 77-ми нулями, которое настолько огромно, что даже еще не имеет названия в системе счета.

По приблизительным меркам, если все существующие компьютеры объединить в поисках, то на подбор приватного ключа потребовалось бы время, соизмеримое со временем существования Вселенной.

С учетом этого хакеры пользуются именно кражей приватных ключей с сервисов или устройств пользователей.

Зная тот самый заветный приватный ключ, определить публичный адрес и получить доступ к хранилищу проще простого. Стоит отметить, что технологии также не стоят на месте.

Возможно в будущем справиться с этой задачей значительно быстрее сможет квантовый компьютер, разработка которого сейчас ведется.

Исходя из всего вышесказанного напрашивается логичный вывод, что потенциально взлом Bitcoin возможен, но сделать это без неосознанной помощи владельца приватного ключа крайне трудно и экономически нецелесообразно.

Взлом через уязвимость

На текущий момент код биткоина не имеет ошибок, позволяющих воровать средства пользователей, но это не страхует владельцев кошельков от кражи через уязвимости. Несовершенство безопасности конкретных сервисов кошельков и других смежных систем становиться легкой лазейкой для хакеров.

Так в рамках эксперимента специалистам удалось заполучить приватный ключ от заранее созданного на бирже Coinbase кошелька. Сделать это удалось за счет уязвимости в сетях SS7.

Для взлома специалистам потребовалось знать минимум информации о владельце: фамилию, имя и номер телефона. Зная об уязвимости сотовой сети SS7, удалось перехватить СМС-сообщение с одноразовым паролем для использования, а также определить электронный адрес пользователя, который в свою очередь открывал доступ к криптовалютному хранилищу.

В настоящее время мобильные операторы активно сотрудничают с консалтинговыми группами, работающими в сфере обеспечения безопасности, для устранения потенциальных угроз. Но стоит отметить, что уязвимость некоторых сетей SS7 лишь одна из возможных лазеек для хакеров.

Программа для взлома биткоин кошелька

В Cети можно встретить множество дискуссий на счет существования программ для взлома криптовалютных кошельков, а также конкретные предложения софта на платной и бесплатной основе.

В большинстве случаев бесплатные приложения – обычные хайпы, которые предлагают пользователям якобы воровать биткоин в обмен на внесение некоторой суммы реальных средств. Переполненность сетей обманными приложениями не отрицает факта существования реальных программ, позволяющих взламывать кошельки.

На текущий момент обнаружено несколько программ, которые могут использовать злоумышленники в краже:

  • Atrax. Программа предоставляется на платной основе за $250. Хакер также может купить несколько дополнительных расширений с особыми функциями по цене от 90 до 150 долларов. Задача программы состоит в определении дополнительного пароля, а покупка дополнительных расширений помогает в организации DDOS-атак, определении ПК с крупными запасами криптовалюты и в сборе сведений о владельце кошелька. На практике с помощью программы была сделана DDOS-атака, в результате чего удалось украсть около 8 млн. долларов.
  • Brainflayer. Софт, созданный Райаном Кастеллуччи для подбора ключевой фразы, через которую можно восстановить приватный ключ. В сети она появилась в 2013 году и еще на старте с ней удалось выкрасть 250 ВТС, которые разработчик после вернул владельцу. Программа способна перебирать более 130 тысяч паролей в секунду, а при использовании больших мощностей или через ботнет, скорость подбора фраз приближается к ста миллиардам в секунду.
  • Биткоин-коллайдер. Нашлась в сети и группа злоумышленников, утверждающих, что способны украсть биткоины за счет вычислительных мощностей. По заявлению создателей, они используют распределенную сеть, состоящую из огромного количества компьютеров. За все время удалось сгенерировать 300 квадриллионов паролей к кошелькам, но только 30 из них подошли и всего лишь на трех имелась криптовалюта. Бытует мнение, что данная группа лиц нацелена преимущественно на поиск биткоина, выпущенного до 2012 года и не попавшего в оборот из-за потери доступа владельцев к кошельку. К слову, стоимость забытых на кошельках монет исчисляется несколькими миллиардами долларов.

Кроме того, помочь украсть биткоины могут программы, которые не позиционируют себя как программы для взлома кошелька. Зачастую хакеры прибегают к нескольким нехитрым способам завладения приватным ключом.

Например, таким как заражение ПК вредоносными программами, которые считывают действия пользователя. Они запоминают комбинации клавиш при вводе паролей и отправляют информацию с хранилища компьютера хакерам, среди которой может быть и файл конфигурации с приватным ключом.

Такие атаки не исключены и на сервера криптовалютных бирж и сервисы кошельков.

Громкие взломы в истории

За время существования биткоина уже произошло несколько резонансных краж, которые навсегда вошли в историю:

  • В 2011 году была взломана криптовалютная биржа Mt.Gox, в результате чего с ее счетов было украдено 650 тысяч ВТС.
  • В 2014 году жертвой стала биржа Cryptsy. Тогда хакеры вывели 13000 ВТС и 300 тысяч Лайткоина.
  • В 2015 году поддалась атаке биржа Bitstamp. С нее было украдено 19000 ВТС, а это примерно 5 млн. долларов на тот момент и более 150 млн. на текущий момент.
  • В 2016 году было обворовано сразу три биржевые площадки. ShapeShift потеряла 315 ВТС, Gatecoin 250 ВТС, а крупная биржа Bitfinex стала беднее на 119756 BTC.
  • В 2017 году жертвой стал сервис облачного майнинга NiceHash. Результатом атаки стала кража 4,7 тысяч биткоинов.
  • В 2018 было совершено резонансное похищение, но не по сумме, а по методике преступления. Владельца кошелька из Украины закрыли в гараже и с помощью угроз заставили выдать 158,89 монет.

Ответственность за взлом биткоин кошелька

В большинстве стран мира под криптовалюты еще не разработаны законопроекты, в том числе и предусматривающие наказание за их хищение, что делает этот вид преступной деятельности еще более привлекательным.

Кроме того, вычислить хакеров проблематично. В большинстве случаев они действуют через сеть TOR, позволяющую скрывать реальный IP-адрес пользователя и его личность.

Не слишком помогает в поиске преступника и открытый реестр транзакций блокчейн. Воры имеют возможность воспользоваться специальными сервисами-миксерами, которые путают следы в реестре путем дробления монет и создания множества транзакций.

В Китае, где криптовалюты узаконены, полиции все же удалось арестовать одного из злоумышленников, который украл ВТС на более чем 2 млн. долларов.

Как обезопасить свою криптовалюту от злоумышленников

В большинстве случаев кража происходит из-за безответственного хранения приватных ключей. Защитить свои сбережения можно, если не забывать несколько простых правил:

  • При прохождении регистрации на криптовалютных биржах и онлайн кошельках, используйте электронные адреса, созданные специально для этого случая и не афишированные нигде более.
  • Пароли необходимо хранить в защищенном месте и регулярно обновлять антивирусную систему на устройствах, где они хранятся.
  • Никогда не используйте однотипные пароли на разных сервисах. Пароль к аккаунтам должен быть сложный, состоять из комбинации цифр и букв, содержать несколько регистров и не нести персональной информации о пользователе.
  • Всегда подключайте к аккаунтам все доступные способы защиты, такие как двухэтапная аутентификация через СМС, электронные письма и так далее.
  • Помните, что злоумышленников не интересуют мелкие суммы. Пользуясь обменными сервисами или совершая транзакции, разбивайте крупные суммы на несколько операций, чтобы не попадать в поле зрения преступников.
  • По возможности старайтесь хранить приватные ключи без доступа к сети Интернет, например, на кошельках холодного хранения. Это делает их недоступными для краж.

Выводы

Сеть биткоина высокозащищенная и не несет ответственности за сохранность приватных ключей пользователей, от чего в большей степени зависит безопасность сбережений. Ответственность за это полностью ложится на плечи самого пользователя или сервиса, который берет на себя такие обязательства.

Источник: https://prostocoin.com/blog/wallet-hack

Как взломать биткоин

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Растущая популярность определенных финансовых инструментов, как это часто бывает, привлекает к себе всех тех, кто желает нажиться за счет чужого труда. Конечно не обошла эта напасть стороной и криптовалюты. Еще бы, такие огромные суммы, но полная анонимность и простота транзакций являются хорошей почвой для роста взломов Биткоин кошельков.

Обидная ситуация, когда вы напряженно майнили несколько месяцев, а в один прекрасный вечер все ваши сбережения улетучились с кошелька. Как такое могло произойти? Скорее всего вас взломали, хакнули.

И если раньше воры работали в тесных трамваях и лазили в форточку за банкнотами, то сегодня деятели данной отрасли могут производить кражи прямо из собственного дома, и для этого им даже не нужно больших укрытий — в криптовалютных сетях и так все достаточно анонимно.

* NEWS-NUNTER.PRO рекомендует зарабатывать на BITCOIN.

* NEWS-NUNTER.PRO рекомендует зарабатывать на КРИПТОВАЛЮТЕ.

Новое поколение воров работает тихо и с большими суммами. Причем атакам подвергаются не только рядовые деятели криптосферы, но и целые биржи.

Кража одиночная

Принцип работы Биткоин-кошелька довольно простой. Скачали — ввели логин и ключ и готово, можно переводить деньги. Это некий плюс к скорости, но большой минус к безопасности.

К примеру операция в интернет-банкинге часто требует либо подтвержденного платежа, либо подтверждения нового платежа путем кода по СМС. Это дополнительная мера защиты, хотя и ее уже научились обходить.

https://www.youtube.com/watch?v=e6YTCC0a3hk

Но все же в криптах нет и такого, поэтому для того, чтобы увести деньги, достаточно лишь завладеть набором букв и цифр — ключом. А решить такую задачу хакеры додумали при помощи нескольких вариантов. Начинаются они все с того, что вам передается вирус. Он может быть прислан по почте, через флешку или случайно скачан вами.

Опасные помощники

Часто он маскируется под некие программы, которые помогут вам майнить, взламывать краны и прочие прелести. Предположим, вам на почту пришла программ для взлома кранов Биткоинов.

Дескать установив ее, вы сможете делать по 100 сатоши в минуту. Вы ее качаете, устанавливаете. Возможно уже здесь вы заразили свой компьютер вирусом, который будет отслеживать ваши действия и передавать вводимые вами пароли мошеннику.

Сама же программа, таинственным образом не запустилась.

Или запустилась и потребовал ваш кошелек и его пароль. Якобы для того, чтобы автоматически вам отправлять туда заработанные BTC. Вы не думаете о том, что для этого ключ не нужен. Но с радостью вводите его. И все имеющиеся на вашем кошельке средства испарились.

Другой вирус может запрограммировать ваш браузер на автоматическое перенаправление. Скажем решили вы посетить официальный сайт криптовалюты и скачать кошелек.

А вас, незаметно, отправили на другой сайт, который был создан хакерами. Вы качаете отсюда что-то, и теряете свой кошелек по вышеописанной схеме.

Страшно это тем, что подобными вирусами можно открыть и банковскую карточку и другие ваши платежные системы.

Кража массовая

Некоторые хакеры не довольствуются малым, а идут ломать целые биржи. Часто это делается в группах. Способов может быть много, например взлом компьютера администратора, либо специальные инъекции для чтения исходного кода сайта.

В общем здесь важна суть. У биржи также есть кошельки, расчетные счета, которые и используются для проведения сделок. Вскрыв такой кошелек, мошенники забирают все деньги с биржи. В том числе и битки участников.

Уже известны случаи таких взломов и потери составляют миллионы долларов. Откровенно говоря, сегодня мало кого можно удивить падением очередной новой биржи. Поэтому всегда пользуйтесь только проверенными временем торговыми площадками.

Можно у вас припарковаться?

А вот другой популярный метод заработка криптовалюты — это встроенный майнер. Взломом это назвать сложно, но схема довольно неприятная для жертвы. В определенный файл, скажем игры, который вы качаете с торрент-трекеров, встраивается скрипт с функцией майнинга.

Его настройки установлены на скрытую работу с вашего компьютера. Крипта, которую он добывает, отправляется на кошелек хакера. Также возможно кража вашего приватного ключа, если у вас такой обнаружится на компьютере.

Со всей уверенностью можно говорить, что подобные скрипты сегодня вкладываются в большинство тяжелых игр и программ, которые вы качаете с трекеров. Помимо дополнительной нагрузки, для вас это обернется износом комплектующих вашего компьютера, а также немного повышенными расходами на электроэнергию.

Конечно много денег вы майнеру не принесете, но представьте насколько широкой может быть его сеть? Копейка к копейке и он получает неплохой заработок. Или вы думаете что люди просто так тратят месяцы на взлом очередного игрового шедевра, чтобы затем раздать его пиратам?

Если в режиме покоя ваш компьютер слишком шумит, нагревается, потребляет много энергии, то возможно у вас установлен скрытый майнер и ведется добыча биткоинов. Проверьте список работающих приложений при помощи диспетчера задач, или программ вроде ProceXP. При обнаружении подозрительной деятельности — поищите информацию о процессе и деактивируйте его.

Написать ответ Отменить ответ

Источник: https://xn----9sbb0aalcipi6bt.xn--p1ai/kak-vzlomat-bitkoin/

Взлома биткоин кошельков и правила защиты от него

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Растущая популярность определенных финансовых инструментов, как это часто бывает, привлекает к себе всех тех, кто желает нажиться за счет чужого труда. Конечно не обошла эта напасть стороной и криптовалюты. Еще бы, такие огромные суммы, но полная анонимность и простота транзакций являются хорошей почвой для роста взломов Биткоин кошельков.

Обидная ситуация, когда вы напряженно майнили несколько месяцев, а в один прекрасный вечер все ваши сбережения улетучились с кошелька. Как такое могло произойти? Скорее всего вас взломали, хакнули.

И если раньше воры работали в тесных трамваях и лазили в форточку за банкнотами, то сегодня деятели данной отрасли могут производить кражи прямо из собственного дома, и для этого им даже не нужно больших укрытий – в криптовалютных сетях и так все достаточно анонимно.

Новое поколение воров работает тихо и с большими суммами. Причем атакам подвергаются не только рядовые деятели криптосферы, но и целые биржи.

Насколько реален взлом Биткоина? | Криптовалюта.Tech

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Небольшой экскурс в мир открытых кодов, смарт-контрактов и… уязвимостей.

Можно ли взломать биткоин? Любое программное обеспечение можно взломать, но в этом нет ничего плохого — взломы лишь усиливают безопасность криптовалют, ведь все, что не убивает нас, делает нас сильнее, так?

Безопасность биткоина: Парень из пузыря и канализационная крыса

На есть выступление Андреаса Антонопулоса под названием «Безопасность биткоина: Парень из пузыря и канализационная крыса» (Bitcoin Security: Bubble Boy and the Sewer Rat).

В этой лекции он представляет централизованные системы как «пузыри», где безопасность обеспечивается за счет изоляции от внешних сил.

Пребывание в изоляции не позволяет системе развить защитные механизмы, но рано или поздно пузырь лопается, оставляя ее беззащитной.

Открытые блокчейны же, по его словам, подобны канализационным крысам, живущим в дикой природе и окруженным врагами, — их иммунная система вынужденно развивается. Да, взломы случаются, но это помогает найти решения, защищающие от будущих атак.

В конце выступления Антонопулос говорит:

Открытый код

Как и у многих криптовалютных проектов, код биткоина открыт, то есть, его может прочесть каждый. Если вам интересно, можно ли взломать биткоин, просто скачайте код и посмотрите! Чем больше людей читают и анализируют код, тем скорее находятся и исправляются любые проблемы.

По сути, ошибка и уязвимость в программе — это одно и то же, только в одном случае пользователь случайно нажимает последовательность клавиш и вызывает сбой приложения, а в другом хакер намеренно нажимает те же кнопки, чтобы получить доступ туда, куда не следует. Пользователь обнаруживает ошибку случайно, хакер использует ее для атаки на систему. Да, биткоин — это ПО, в любом ПО есть ошибки, и хакеры этим пользуются.

Раскрытие уязвимости

В апреле 2018 года разработчик, работающий над кодом биткоина в проекте Digital Currency Initiative в MIT Media Lab, обнаружил уязвимость в Bitcoin Cash. Здесь нужно заметить, что сообщества биткоина и отделившегося от него Bitcoin Cash друг друга на дух не переносят.

Найденная уязвимость была очень серьезной и могла бы похоронить Bitcoin Cash, но программист повел себя достойно и сообщил разработчикам о проблеме. В итоге никто не успел воспользоваться ошибкой для взлома, она была исправлена, и 7 мая 2018 года было опубликовано соответствующее обновление.

Смарт-контракты (умные и не очень)

Если говорить о безопасности, то реализация смарт-контрактов — это очень сложная задача. Смарт-контракты — это фрагменты исполняемого кода для управления транзакциями, и они записаны в блокчейне, а значит, вечны. И, поскольку они вечны, любые ошибки и уязвимости, допущенные в таком контракте при создании, тоже вечны.

Таким образом, плохо спроектированный или реализованный код смарт-контракта может привести к огромным финансовым потерям, как это случилось в печально известной истории с DAO — в результате плохо написанного смарт-контракта.

Хакеры любят сложный код, потому что в нем больше ошибок. И наоборот, безопасность — это простота. Биткоин-сообщество разработало язык Bitcoin Script, специально упростив и ограничив его — во имя безопасности.

Альтернативный проект, Ethereum, стремится обеспечить платформу для программирования децентрализованных приложений, поэтому язык Solidity, который там используется, тьюринг-полный, то есть способен реализовать всю сложность компьютерных вычислений.

Игры Capture The Flag (CTF) заключаются в поиске уязвимостей, и у компании Security Innovation есть бесплатная игра такого рода для смарт-контрактов — Blockchain CTF. Программирование смарт-контрактов на Solidity под платформу Ethereum требует хорошей практики в области безопасности. Можно ли взломать Ethereum? Да, как и биткоин.

27 июля 2018 года ICO проекта KICKICO на платформе Ethereum было взломано и потеряло 7,7 млн долларов: хакеры получили секретный ключ проекта и взломали смарт-контракт. Справедливости ради, здесь дело было не в уязвимости в смарт-контракте, а в неправильной защите ключа.

Немного о кошельках

Хранением личных ключей занимается кошелек, и именно он отвечает за их неприкосновенность. Если вы пользуетесь онлайн-кошельком, ваши личные данные живут на чужом сервере со всеми его уязвимостями. С другой стороны, если держать кошелек у себя на жестком диске, то можно утратить средства, когда диск сломается. Безопаснее всего — офлайновые аппаратные кошельки.

Онлайн-кошельки — зло

Хранение криптовалюты в онлайн-кошельке — это, практически, приглашение ко взлому.

Происходить это может так: сначала хакер узнает адрес электронной почты и телефон жертвы, — это обычно общедоступная информация, — а потом запрашивает сброс пароля для учетной записи и использует уязвимость в протоколе телефонии Signal System 7 (SS7), который используют в своих сетях, к примеру, крупнейшие американские сотовые операторы AT&T и Verizon. Так хакер перехватывает токен авторизации. Теперь у него есть доступ к кодам двухфакторной авторизации, отправляемым на телефон жертвы, и с их помощью они заходят в сервис кошелька, после чего делают с криптовалютой все, что хотят.

Уязвимость в Monero

Любопытно, что иногда уязвимости оборачиваются против самих хакеров.

Исследователи из ряда университетов, включая Принстон, Карнеги-Меллон, Бостонский университет и Массачусетский технологический институт обнаружили проблему конфиденциальности в Monero.

Как известно, эта криптовалюта призвана обеспечивать анонимность действий пользователей, а уязвимость позволяла получить сведения о транзакции и определить, кто ее совершает.

И, поскольку данные в блокчейне хранятся вечно, эта ошибка позволяет заглянуть в прошлое на любую глубину. Представьте себе, что у вас украли деньги, воспользовавшись уязвимостью, и хакер рассчитывал остаться анонимным, но из-за ошибки в программе его стало можно выследить — какая ирония!

Так можно ли взломать биткоин?

Ошибки бывают разные, серьезные и не очень, но зачастую для взлома совершенно не нужно ничего делать с программой.

В декабре 2017 года проект NiceHash приостановил работу из-за взлома, в ходе которого было украдено 64 млн долларов. В компании утверждали, что атака была «высокопрофессиональной» и опиралась на «сложную социальную инженерию».

Но социальная инженерия — это просто жульничество. Хакеры обманом заставляют людей отдать им пароли, предоставить доступ к тому или иному аккаунту или сообщить им какую-то секретную информацию.

Можно ли взломать биткоин? Конечно, это случалось много раз. Но каждый такой взлом изучается — и только укрепляет защиту системы.

Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме

Источник: https://cryptocurrency.tech/naskolko-realen-vzlom-bitkoina/

Белый хакер создал инструмент для взлома Биткоин кошельков с Brainwallet

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

«Белый хакер» создал новый инструмент, показывающий, что можно с легкостью украсть биткоины из кошельков, созданных по технологии «brainwallet», где кодовая фраза хранится только в памяти пользователя.

Первоначально задуманный как способ сохранения конфиденциальных данных в автономном режиме, brainwallet использует один длинный пароль или фразу, преобразует его в закрытый ключ, открытый ключ и наконец в адрес.

 

Простое запоминание сложной фразы позволяет любому пользователю держать миллионы долларов цифровой наличности фактически в собственной голове, без необходимости хранить какие-либо записи на компьютере.

Однако, оказывается, что ум является удивительно уязвимым местом, и не составляет особого труда подобрать ключ к вашим крипто-активам.

Исследователь в сфере информационной безопасности Райан Кастелуччи из фирмы White Ops указал на наличие серьезной уязвимости в этом методе.

Он подчеркивает, что конечный адрес Биткоин записывается в блокчейне как хэш закрытого ключа, созданного на основе пароля.

При использовании для аутентификации на веб-сайте, хэш пароля поможет определить слово или фразу, сравнив её с оригиналом. Это означает, что данные могут быть использованы взломщиками, которые ищут пароль.

7 августа на DEF CON 23, одной из крупнейших в мире ежегодных конференций хакеров, программа-взломщик brainwallet, названная Кастелуччи Brainflayer, оказалась способна перебирать пароли с частотой 130 000 раз в секунду.

Запуск на более мощных компьютерах, например в арендованном облаке, который обойдётся в $1, может быть использован для перебора 560 миллионов фраз в секунду.
При этом, система применима и для ASCII паролей, построенных на символах клавиатуры США, и XKCD паролей.

Кастеллуччи заявил, что его бот может проверить каждый адрес Биткоин, который когда-либо получал средства, в течение одного дня.

В интервью Кастеллуччи стремился подчеркнуть, что хотя созданный им инструмент может быть использован преступниками, он надеется, что его исследования будут стимулировать пользователей Bitcoin к поиску лучших методов безопасности для защиты своих сбережений.

Кастеллуччи сказал:

Вы можете кричать с крыш, что кто-то слаб и уязвим, но многие люди просто будут всё отрицать без наличия работающего доказательства концепции. Я думаю, что концепция, которая позволяет людям выбирать свои собственные пароли и фразы для высокопроизводительных приложений, является в корне ошибочным подходом к безопасности.

В этом случае, презентация Кастелуччи не прошла незамеченной. После ее выхода веб-сайт BrainWallet.org, который генерирует личные ключи для пользователей и использует JavaScript, перешел в автономный режим. Хотя другие услуги остаются доступными, закрытие было очень высоко оценено членами сообщества Bitcoin.

Начало проекта

Развитие проекта началось в середине 2013 года, когда первые пользователи Биткоина начали испытывать проблемы с безопасностью brainwallet. Примерно в то же время один из пользователей Reddit, известный как btcrobinhood (BTC Робин Гуд), начал воровать монеты из brainwallets, возвращая их потом законным владельцам в целях разоблачения уязвимости технологии.

Вдохновленный этим примером, Кастеллуччи создал оригинальную программу-взломщик Brainflayer, которая могла выдавать 10 000 паролей, предугадывая все возможные варианты. 

Когда он вернулся к своему компьютеру, на котором была запущена программа, он нашел 250 ВТС, уже извлеченных из чужого кошелька благодаря уязвимостям в технологии Brainwallet.

Кастеллуччи был поставлен в трудную ситуацию. У него было два варианта — взять несколько BTC как оплату за свои исследования, и предупредить пользователей бумажников, что их безопасность под угрозой, или попытаться связаться с ними с помощью других средств. В конце концов, ему удалось связаться с владельцем и убедить его переместить биткоины в более безопасный кошелек.

«На какое-то время я просто перестал работать над своими исследованиями» сказал он. «Я надеялся,что проблема уйдет. Ведь многие эксперты говорили, что brainwallet имеет много уязвимостей.»

Когда проблема не исчезла, ​​он решил вернуться к исследованиям, утверждая, что это его обязанность — раскрыть уязвимость, чтобы пользователи могли принять соответствующие меры и повысить свой уровень защищенности.

Кастелуччи недавно написал в блоге:

Идея состоит в том, что если кто-то вроде меня обнаруживает ошибку, он должен предпринять определенные усилия и расследовать ее прежде, чем рассказать сообществу. Я делал это в прошлом, и я думаю, что это правильный подход.

Будущее технологии

Также он предложил тем, кто использует brainwallet, рассмотреть улучшенную реализацию данной идеи — WarpWallet.

Кастелуччи говорит, что в уравнение WarpWallets интегрирована «соль» — случайные данные, используемые для входа при хэшировании функции. Это означает, что если «солью» пользователя был его адрес электронной почты, потенциальному вору нужно знать не только пароль, но и адрес. 

Тем не менее, Кастеллуччи советует тем, кто использует кошельки на brainwallet, применять наборы случайных чисел и символов. А еще лучше использовать diceware — процесс, посредством которого пароли создаются с помощью пары генераторов случайных чисел.

Это действительно очень трудно, удержать людей от выбора клички собаки и своего дня рождения в качестве пароля. Никакой скрипт не может спасти людей, которые используют «[email protected]». Многим пользователям казалось, что длинная фраза в качестве пароля вполне безопасна. Однако я доказал, что это не всегда верно.

Кастелуччи не сказал точно, сколько ключевых фраз Brainflayer способен угадывать на одном компьютере. Но он намекает, что если его программа будет запущена в ботнете, то цифра может приближаться к ста миллиардам ключевых фраз в секунду. Более того, он говорит, что программа PassPhrase оптимизирована для задачи быстрой генерации ключей Bitcoin и сканирования блокчейна. 

Для наиболее эффективного сканирования и проверки блокчейна он использовал метод, известный как фильтр Bloom. Его результат пока не достигает триллиона ключевых фраз в секунду, о чем ранее предупреждал Сноуден, подразумевая достижения АНБ. Тем не менее, это может удивить многих людей, которые считают, что их ключевые фразы являются безопасными.

Бюро находок

Когда его спросили, как он планирует продолжить свою работу, Кастеллуччи сказал, что он все еще в процессе планирования следующих исследований. Он работает над добавлением новых инструментов в brainwallet, как и в Brainflayer. В том числе это режим, который будет сканировать «плохие» приватные ключи. 

Но пока остается больше вопросов, чем ответов:

Кто будет отрабатывать подобные уязвимости? 

И какие правовые последствия могут наступить для белых хакеров, пытающихся предотвратить будущие взломы?

Источник: https://bits.media/belyy-khaker-sozdal-instrument-dlya-vzloma-bitkoin-koshelkov-s-brainwallet/

Как взломать блокчейн? 7 способов

Как взломать биткойн-кошелек? Выяснили хакеры с помощью сотовых сетей

Блокчейн можно взломать, но зачастую это дорогостоящий и длительный процесс. Блокчейн можно взломать тремя основными способами: через протокол, через биржи (через кошельки людей), используя фишинг, а так же при помощи других классических онлайн-мошенничеств.

Новости полны историй людей, у которых украли криптовалюты. Это потому, что блокчейн не так безопасен, как все думают, или есть другая причина? Обо всем об этом мы раскажем Вам далее в статье.

Блокчейн можно взломать?

Это отличный вопрос, который состоит из множества частей. Вот почему мы разбили его на категории, чтобы лучше объяснить уязвимости безопасности в основе этой новой технологии.

Протокол

Консенсусный протокол — это, по сути, набор правил, который сообщает криптовалюте, как работать. Поскольку разные сети имеют разные протоколы, уязвимости могут различаться, и некоторые взломы не применимы ко всем криптовалютам.

Тем не менее, ниже приведены четыре наиболее широко обсуждаемых варианта.

Атака Сивиллы

Атака Сивиллы (Sybil) происходит, когда большое количество узлов контролируется одной стороной и использует эту мощность для заполнения сети плохими или мошенническими транзакциями.

К счастью, большинство криптовалют предназначено для предотвращения такого взлома. У Биткоина его алгоритм Proof-of-Work сделал бы такую ​​атаку невероятно дорогой для одного хакера. До сих пор никому не удалось успешно провести атаку Сивиллы на крупную криптовалюту.

Термин «Атака Сивиллы» назван в честь известной книги по психологии, опубликованной в 1973 году с таким же названием. Название относится к псевдониму, который дан женщине со сложным расстройством личности.

Маршрутизация Атаки

Для работы с криптовалютой необходимо использовать интернет, а интернет-провайдеры (ISP) являются посредниками, через которые проходит большая часть мирового онлайн-трафика.

При атаке с использованием маршрутизатора хакер перехватывает данные при их отправке провайдеру. После того, как они вошли, хакер может разделить сеть на разделы.

Согласно исследованию, проведенному ETHZurich, всего 13 провайдеров размещают 30% Биткойн-сетей, а 3 провайдера маршрутизируют 60% всего трафика через сеть.

Создавая раздел, сеть блокчейна предполагает, что другие узлы вышли из системы и продолжают работать. Тем не менее, хакер может создать большое количество мошеннических транзакций на одной стороне раздела, так что, когда раздел выйдет из строя, более короткая цепочка (та, что с правдивыми транзакциями) будет отклонена сетью, эффективно узаконившейся поддельной.

Эти атаки распространены в Интернете, но до сих пор не было никаких известных атак такого рода на блокчейн.

Прямой отказ в обслуживании

Чаще всего встречается в интернете прямые отказы в обслуживании или DDoS-атаки наводняют сервера или узел огромными объемами трафика, не позволяя реальным запросам получать информацию, что приводит к сбою службы.

В криптовалюте субъект может попытаться отключить узел, создав тысячи поддельных транзакций. Тем не менее, сеть Биткойн довольно хорошо защищена, когда дело доходит до DDoS-атак.

Чтобы хакер мог создать достаточно транзакций, он должен будет заплатить за каждую из них плату за майнинг, что делает ее невероятно дорогой. Поскольку Биткойн был первым блокчейном, многие другие сети приняли аналогичные протоколы безопасности, что делает эту атаку труднее.

Атаки 51%

Атака 51% происходит, когда майнер контролирует 51% всей мощности хеширования в сети. Это означает, что злоумышленник сможет проводить атаки с двойными тратами, а это означает, что пользователь может дважды отправить криптовалюту без ведома сети.

Однако такого рода атаки более вероятны в небольших сетях, где стоимость захвата более доступна, чем в более крупных сетях, таких как Биткойн.

Пример атак 51%:

  • В августе 2016 года блокчейны Krypton и Shift подверглись атаке 51%
  • В апреле 2018 года криптовалюта Verge подверглась нескольким атакам 51%
  • Так же атаке подвергались такие криптовалюты, как: Monacoin, Bitcoin Gold, Horizen и другие

Подробнее читайте об этом в нашей статье.

Биржи

Биржи — это места, где пользователи покупают и продают свои криптоактивы. В настоящее время крупнейшие в мире биржи централизованы.

Это делает их особенно уязвимыми для атак, поскольку хакер должен обойти только несколько уровней безопасности, чтобы получить доступ ко всей базе данных, где хранится криптовалюта пользователей.

На нашем канале было несколько обзоров про взломы бирж. Подписывайтесь, что бы быть в курсе всех новостей и событий из мира криптовалют и майнинга!

Большинство крипто-краж происходит на биржах. В 2017 году, по данным криптозащитной компании CipherTrace, с бирж было украдено 266 миллионов долларов в криптовалюте. В первой половине 2018 года — это число превысило 700 миллионов долларов в криптовалюте.

Децентрализованные биржи предлагают более безопасный вариант хранения в отличии от централизованных, но еще не достигли того же уровня принятия, что и их централизованные коллеги, так как менее удобны и понятны.

Кошельки

Кошельки, которые владельцы криптовалют используют для хранения криптовалют, могут быть подвержены атакам. Тем не менее, большинство потерь происходит из-за человеческой ошибки, нежели из-за хакеров.

Однако мы категорически Вам не советуем хранить на одной системе (на 1 компьютере) надёжные кошельки, типа: Bitcoin, Ethereum, Litecoin и так далее с кошельками от малоизвестных монет!

Почему? Все просто, бывали случаи, когда криптовалюта создавалась с целью обокрасть пользователей. Люди скачивали эти кошельки на ПК на котором хранятся другие кошельки и этот кошелек от малоизвестной монеты воровал приватные ключи других кошельков!

Узнайте все про кошельки (аппаратные, холодные, веб и другие), как их устанавливать, настраивать, обрезать и так далее.

Вывод

Как и любая новая технология, блокчейн имеет свои уязвимости. Тем не менее, проблемы безопасности блокчейна активно решаются сообществами, которые помогают их решать.

Уязвимость блокчейна больше связана с тем, как люди им используются, нежели чем тем, как он построен. По мере того как мы все лучше защищаем свою информацию, безопасность сети должна повышаться.

Источник: https://bytwork.com/articles/vzlom-blokcheyna

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.