Bitcoin-bruker mister midler til kompromittert lommebok
En Bitcoin-bruker mistet midler etter å ha sendt kryptovaluta til en kompromittert lommebok som benyttet en transaksjonsidentifikator fra en coinbase-blokkbelønning som sin private nøkkel. Transaksjonsidentifikatoren fra Coinbase fra blokk 924,982 fungerte som den private nøkkelen for lommeboken, noe som skapte en sikkerhetsvulnerabilitet som utløste automatisert botaktivitet, ifølge kryptovaluta-publikasjonen Protos.
Automatiserte systemer og tap av midler
Hendelsen førte til at automatiserte dataprogrammer knyttet til Bitcoins minnepool, eller mempool, av ventende transaksjoner konkurrerte om midlene. Disse botene oppdager automatisk innskudd i kompromitterte lommebøker og kringkaster transaksjoner med høyere gebyrer for å overby konkurrerende programers gebyrer til gruvearbeidere for uttakstransaksjoner.
I det rapporterte tilfellet ble 0,84 BTC sendt og tapt til en adresse med en ikke-tilfeldig privat nøkkel avledet fra en bloks coinbase-identifikator, ifølge blokkjededata.
De automatiserte systemene benytter seg av mekanismer for å erstatte gebyrer for gradvis å øke transaksjonsgebyrene i konkurranse med andre botter. I noen tilfeller betaler barne-transaksjoner opptil 99,9 % av transaksjonsverdien i gebyrer, ifølge observatører som overvåker slik aktivitet.
Kritisk sikkerhetselement: Private nøkler
Private nøkler representerer det mest kritiske sikkerhetselementet for å beskytte Bitcoin-beholdninger. Når en privat nøkkel blir eksponert eller avledet fra vanlige datamønstre, skjer tyveri vanligvis umiddelbart, ifølge eksperter på kryptovalutasikkerhet.
Mange kompromitterte lommebøker med ikke-tilfeldige private nøkler bruker frøfraser med forutsigbare mønstre, inkludert gjentatte ord som «passord,» «bitcoin,» eller «forlat», ifølge sikkerhetsforskere. Ethvert ikke-tilfeldig mønster som mangler ekte entropi kan eksponere en privat nøkkel og gjøre det mulig for automatiserte systemer å tømme innskudd til den tilsvarende offentlige nøkkelen.
Konsekvenser av ikke-tilfeldighet
Hendelsen demonstrerer at ikke-tilfeldighet kan strekke seg utover enkle ordmønstre til å inkludere offentlig informasjon registrert på Bitcoin-boken, som transaksjonsidentifikatorer for blokkbelønninger. Manglende evne til å introdusere mekanisk entropi når man genererer private nøkler kan muliggjøre brute-force angrep og kompromittere sikkerheten til midler, ifølge kryptografi-eksperter.
Hashing av en privat nøkkel via en transaksjonsidentifikator gir ikke tilstrekkelig entropi for sikker lagring av private nøkler, noe som illustrerer hendelsen. Gruvearbeidere og andre mempool-observatører kan overvåke transaksjonsidentifikatorer for ikke-tilfeldighet og forsøke å kringkaste tyveritransaksjoner ved bruk av eksponerte private nøkler, ifølge blokkjedesikkerhetsanalytikere.
