«Мозговой кошелек» — надежный способ передачи своих bitcoin взломщикам

«Общество активных злоумышленников» часто опустошает виртуальные кошельки в течение нескольких минут после их активации

eb03257a810dd18e85638ea648351ee4.jpg
Фото: NoHoDamon

Хакеры вытянули с Bitcoin аккаунтов, защищенных альтернативными мерами безопасности, около $103 тысяч. Именно о такой сумме говорят исследователи, отслеживавшие транзакции в Bitcoin-сети в течение нескольких лет. И это только малая толика — то, что было зафиксировано. Проблема имеет отношение к тем аккаунтам, что защищены легкими для запоминания паролями вместо длинных криптографических ключей, которые обычно используются. Речь идет о так называемых «мозговых кошельках»: пользователь придумывает пароль, прогоняет его через хеш-функцию, и на выходе получает свой криптографический ключ. При этом запомнить нужно только свое секретное слово, пароль, а не сам ключ. Удобно? Да. Безопасно? Оказывается, нет.

Цифровыми взломщиками были опустошены примерно 900 аккаунтов, пользователи которых использовали «мозговые пароли» для создания закрытых ключей шифрования, требуемых для снятия средств. Во многих случаях уязвимые аккаунты были опустошены в течение минут или даже секунд после активации и выхода аккаунта в онлайн. При этом в течение многих лет пользователи Bitcoin старались запоминать пароли, вместо использования криптоключей, считая такой метод безопасным и удобным. Эксперты предупреждали о том, что это заблуждение, но предупреждения помогали мало.
Проблемы для атакующего в том, чтобы взломать аккаунт с «мозговым кошельком» нет никакой. На Defcon не так давно была продемонстрирована технология взлома кошельков, наглядно показавшая ненадежность паролей. Аккаунты без соли, а с запоминаемыми паролями взламывались за доли секунды. Злоумышленники взламывали целые группы аккаунтов за один прием. При этом стоит помнить, что хешированые пароли хранятся в блокчейнах, обеспечивая информацией злоумышленников, занимавшихся взломом.

Проблема такого способа защиты — в его предсказуемости. Так, исследователи говорят о частом использовании фраз вроде «say hello to my little friend» («скажи привет моему маленькому другу»), «to be or not to be» («быть или не быть»), «Walk Into This Room» («Войти В Эту Комнату»), «party like it’s 1999» («Развлекайся, как будто сейчас 1999»), «yohohoandabottleofrum» («йохохоибутылкарома») и совсем простая фраза «Arnold Schwarzenegger» («Арнольд Шварценеггер»).

За период наблюдений в 6 лет исследователи по сетевой безопасности смогли идентифицировать 884 успешных атаки хакеров, что позволило злоумышленников увести 1806 биткоинов. Общая стоимость криптомонеток по курсу на момент кражи составила $103000. Большая часть суммы была украдена с 10 самых «богатых» кошельков. По итогам своей работы специалисты опубликовали развернутый анализ ситуации, работу «The Bitcoin Brain Drain: A Short Paper on the Use and Abuse of Bitcoin Brain Wallets.

Для обнаружения «мозговых кошельков» и их взлома исследователи опробовали в работе около 300 миллиардов паролей, которые были взяты из 20 источников, включая Urban Dictionary, англоязычную Википедию, утекшие пароли с игрового ресурса RockYou и другие.

Все эти пароли прогонялись через хеш-функцию (SHA256) для получения списка, который уже тестировали на реальных кошельках. В работе использовался такой метод, как криптография на эллиптических кривых. Этот метод использовали для поиска открытого ключа, соответствующего каждому из закрытых ключей. Поскольку в блокчейнах содержится информация о любом кошельке сети, специалистам удавалось узнать, когда предполагаемый пароль был использован реальным пользователем системы.

Интересно, что среди взломщиков были и те, кто возвращал украденные средства. Так, пользователи Reddit Robin Hood b Little John возвращали средства людям, если те могли доказать, что взломанный кошелек принадлежит именно им.

Вывод? Человек не может придумать достаточно надежный пароль, «мозговой кошелек» — уязвимая схема защиты своего Bitcoin аккаунта. Об их уязвимости некоторые специалисты по информационной безопасности предупреждали и ранее, причем неоднократно. Но это ни к чему не привело. Возможно, сейчас ситуация изменится к лучшему.

© Geektimes