یک کاربر بیت کوین پس از ارسال ارز دیجیتال به یک کیف پول آسیبدیده که از شناسه تراکنش پاداش بلوک کوین بیس به عنوان کلید خصوصی استفاده میکرد، وجوه خود را از دست داد.
خلاصه
- یک کاربر بیت کوین 0.84 BTC به کیف پول آسیبدیدهای ارسال کرد که کلید خصوصی آن از شناسه تراکنش کوین بیس بلوک 924,982 مشتق شده بود و آن را در معرض سرقت قرار داد.
- برنامههای خودکار که ممپول را نظارت میکنند، واریز را شناسایی و از طریق تراکنشهای جایگزینی با کارمزد بالاتر رقابت کردند و گاهی تقریباً 100% ارزش را به عنوان کارمزد پرداخت کردند تا وجوه را مطالبه کنند.
- استفاده از دادههای قابل پیشبینی یا عمومی—مانند شناسههای تراکنش یا الگوهای کلمات رایج—برای کلیدهای خصوصی، امکان سوءاستفاده فوری را فراهم میکند و اهمیت حیاتی آنتروپی واقعی در تولید کلید را برجسته میسازد.
شناسه تراکنش کوین بیس از بلوک 924,982 به عنوان کلید خصوصی کیف پول عمل کرد و آسیبپذیری امنیتی ایجاد کرد که فعالیت ربات خودکار را راهاندازی کرد، به گفته نشریه ارز دیجیتال پروتوس.
این حادثه برنامههای کامپیوتری خودکار متصل به حوضچه حافظه بیت کوین یا ممپول تراکنشهای در انتظار را وادار کرد تا برای وجوه رقابت کنند. این رباتها به طور خودکار واریزها به کیف پولهای آسیبدیده را شناسایی و تراکنشهای جایگزینی با کارمزد بالاتر را پخش میکنند تا کارمزدهای برنامههای رقیب را برای ماینرها در تراکنشهای برداشت پیشی بگیرند.
در مورد گزارششده، 0.84 BTC به آدرسی با کلید خصوصی غیرتصادفی که از شناسه کوین بیس یک بلوک مشتق شده بود، ارسال و از دست رفت، طبق دادههای بلاک چین.
سیستمهای خودکار از مکانیزمهای جایگزینی با کارمزد بالاتر برای افزایش تدریجی کارمزدهای تراکنش در رقابت با سایر رباتها استفاده میکنند. در برخی موارد، تراکنشهای فرعی تا 99.9% ارزش تراکنش را به عنوان کارمزد پرداخت میکنند، به گفته ناظران که چنین فعالیتی را رصد میکنند.
کلیدهای خصوصی حیاتیترین عنصر امنیتی برای محافظت از داراییهای بیت کوین هستند. هنگامی که کلید خصوصی افشا میشود یا از الگوهای داده رایج مشتق میشود، سرقت معمولاً فوراً رخ میدهد، به گفته کارشناسان امنیت ارز دیجیتال.
بسیاری از کیف پولهای آسیبدیده با کلیدهای خصوصی غیرتصادفی از عبارت بازیابی با الگوهای قابل پیشبینی استفاده میکنند، از جمله کلمات تکراری مانند "password"، "bitcoin" یا "abandon"، به گفته محققان امنیتی. هر الگوی غیرتصادفی که فاقد آنتروپی واقعی است میتواند کلید خصوصی را افشا کند و سیستمهای خودکار را قادر سازد تا سپردهها را به کلید عمومی مربوطه تخلیه کنند.
این حادثه نشان میدهد که غیرتصادفی بودن میتواند فراتر از الگوهای کلمات ساده به اطلاعات عمومی ثبتشده در دفترکل بیت کوین، مانند شناسههای تراکنش پاداشهای بلوک گسترش یابد. عدم معرفی آنتروپی مکانیکی هنگام تولید کلیدهای خصوصی میتواند حملات brute-force را امکانپذیر کند و امنیت وجوه را به خطر بیندازد، به گفته کارشناسان رمزنگاری.
هش کردن یک کلید خصوصی از طریق شناسه تراکنش، آنتروپی کافی برای ذخیرهسازی ایمن کلید خصوصی فراهم نمیکند، این حادثه نشان میدهد. ماینرها و سایر ناظران ممپول میتوانند شناسههای تراکنش را برای غیرتصادفی بودن نظارت کنند و تلاش کنند تراکنشهای سرقت را با استفاده از کلیدهای خصوصی افشاشده پخش کنند، به گفته تحلیلگران امنیت بلاک چین.
منبع: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
