ผู้ใช้ Bitcoin คนหนึ่งสูญเสียเงินหลังจากส่งคริปโทเคอร์เรนซีไปยังกระเป๋าเงินที่ถูกบุกรุก ซึ่งใช้ตัวระบุธุรกรรมจากรางวัลบลอก coinbase เป็นคีย์ส่วนตัว
สรุป
- ผู้ใช้ Bitcoin ส่ง 0.84 BTC ไปยังกระเป๋าเงินที่ถูกบุกรุก ซึ่งคีย์ส่วนตัวได้มาจากตัวระบุธุรกรรม coinbase ของบลอก 924,982 ทำให้เสี่ยงต่อการถูกขโมย
- โปรแกรมอัตโนมัติที่ตรวจสอบ mempool ตรวจพบการฝากเงินและแข่งขันกันผ่านธุรกรรม replace-by-fee บางครั้งจ่ายค่าธรรมเนียมเกือบ 100% ของมูลค่าเพื่อเรียกร้องเงิน
- การใช้ข้อมูลที่คาดเดาได้หรือเปิดเผยต่อสาธารณะ เช่น ID ธุรกรรมหรือรูปแบบคำทั่วไป สำหรับคีย์ส่วนตัว ทำให้สามารถถูกโจมตีได้ทันที เน้นย้ำถึงความสำคัญอย่างยิ่งของเอนโทรปีที่แท้จริงในการสร้างคีย์
ตัวระบุธุรกรรมของ Coinbase จากบลอก 924,982 ทำหน้าที่เป็นคีย์ส่วนตัวสำหรับกระเป๋าเงิน สร้างช่องโหว่ด้านความปลอดภัยที่กระตุ้นกิจกรรมบอทอัตโนมัติ ตามที่สิ่งพิมพ์คริปโทเคอร์เรนซี Protos รายงาน
เหตุการณ์นี้กระตุ้นให้โปรแกรมคอมพิวเตอร์อัตโนมัติที่เชื่อมต่อกับ memory pool หรือ mempool ของธุรกรรมที่รอดำเนินการของ Bitcoin แข่งขันกันเพื่อเงิน บอทเหล่านี้ตรวจจับการฝากเงินเข้ากระเป๋าเงินที่ถูกบุกรุกโดยอัตโนมัติและส่งธุรกรรม replace-by-fee เพื่อเสนอค่าธรรมเนียมสูงกว่าโปรแกรมคู่แข่งให้กับนักขุดสำหรับธุรกรรมการถอน
ในกรณีที่รายงาน 0.84 BTC ถูกส่งและสูญหายไปยังแอดเดรสที่มีคีย์ส่วนตัวที่ไม่สุ่มซึ่งได้มาจากตัวระบุ coinbase ของบลอก ตามข้อมูลบล็อกเชน
ระบบอัตโนมัติใช้กลไก replace-by-fee เพื่อเพิ่มค่าธรรมเนียมธุรกรรมทีละน้อยในการแข่งขันกับบอทอื่น ๆ ในบางกรณี ธุรกรรมย่อยจ่ายค่าธรรมเนียมสูงถึง 99.9% ของมูลค่าธุรกรรม ตามที่ผู้สังเกตการณ์ที่ติดตามกิจกรรมดังกล่าวรายงาน
คีย์ส่วนตัวเป็นองค์ประกอบด้านความปลอดภัยที่สำคัญที่สุดในการปกป้องการถือครอง bitcoin เมื่อคีย์ส่วนตัวถูกเปิดเผยหรือได้มาจากรูปแบบข้อมูลทั่วไป การโจรกรรมมักจะเกิดขึ้นทันที ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยคริปโทเคอร์เรนซีกล่าว
กระเป๋าเงินที่ถูกบุกรุกจำนวนมากที่มีคีย์ส่วนตัวที่ไม่สุ่ม ใช้วลีเมล็ดพันธุ์ที่มีรูปแบบที่คาดเดาได้ รวมถึงคำที่ซ้ำกันเช่น "password," "bitcoin," หรือ "abandon" ตามที่นักวิจัยด้านความปลอดภัยกล่าว รูปแบบที่ไม่สุ่มใด ๆ ที่ขาดเอนโทรปีที่แท้จริงสามารถเปิดเผยคีย์ส่วนตัวและทำให้ระบบอัตโนมัติสามารถดูดเงินฝากไปยังคีย์สาธารณะที่สอดคล้องกันได้
เหตุการณ์นี้แสดงให้เห็นว่าการไม่สุ่มสามารถขยายออกไปนอกเหนือจากรูปแบบคำง่าย ๆ เพื่อรวมข้อมูลสาธารณะที่บันทึกไว้ในบัญชีแยกประเภท Bitcoin เช่น ตัวระบุธุรกรรมของรางวัลบลอก ความล้มเหลวในการนำเอนโทรปีเชิงกลมาใช้เมื่อสร้างคีย์ส่วนตัวสามารถทำให้เกิดการโจมตีแบบ brute-force และทำลายความปลอดภัยของเงินทุน ตามที่ผู้เชี่ยวชาญด้านการเข้ารหัสกล่าว
การแฮชคีย์ส่วนตัวผ่านตัวระบุธุรกรรมไม่ได้ให้เอนโทรปีที่เพียงพอสำหรับการจัดเก็บคีย์ส่วนตัวที่ปลอดภัย เหตุการณ์นี้แสดงให้เห็น นักขุดและผู้สังเกตการณ์ mempool อื่น ๆ สามารถตรวจสอบตัวระบุธุรกรรมสำหรับการไม่สุ่มและพยายามส่งธุรกรรมการขโมยโดยใช้คีย์ส่วนตัวที่เปิดเผย ตามที่นักวิเคราะห์ด้านความปลอดภัยบล็อกเชนกล่าว
แหล่งที่มา: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
