فقد مستخدم بيتكوين أمواله بعد إرسال العملة المشفرة إلى محفظة مخترقة استخدمت معرف المعاملة من مكافأة كتلة كوين بيس كمفتاح خاص بها.
ملخص
- أرسل مستخدم بيتكوين 0.84 BTC إلى محفظة مخترقة اشتق مفتاحها الخاص من معرف معاملة كوين بيس للكتلة 924,982، مما عرضها للسرقة.
- اكتشفت البرامج الآلية التي تراقب الميمبول الإيداع وتنافست عبر معاملات الاستبدال مقابل الرسوم، حيث دفعت أحياناً ما يقرب من 100% من القيمة كرسوم للمطالبة بالأموال.
- يتيح استخدام بيانات يمكن التنبؤ بها أو متاحة للجمهور - مثل معرفات المعاملات أو أنماط الكلمات الشائعة - للمفاتيح الخاصة الاستغلال الفوري، مما يسلط الضوء على الأهمية الحاسمة للعشوائية الحقيقية في توليد المفاتيح.
عمل معرف المعاملة الخاص بكوين بيس من الكتلة 924,982 كمفتاح خاص للمحفظة، مما أدى إلى إنشاء ثغرة أمنية أطلقت نشاط البوتات الآلية، وفقاً لمنشور العملات المشفرة Protos.
دفعت الحادثة البرامج الحاسوبية الآلية المتصلة بمجمع ذاكرة بيتكوين، أو الميمبول، للمعاملات المعلقة للتنافس على الأموال. تكتشف هذه البوتات تلقائياً الإيداعات في المحافظ المخترقة وتبث معاملات الاستبدال مقابل الرسوم للتفوق على رسوم البرامج المنافسة للمعدنين لمعاملات السحب.
في الحالة المبلغ عنها، تم إرسال 0.84 BTC وفقدانها إلى عنوان بمفتاح خاص غير عشوائي مشتق من معرف كوين بيس للكتلة، وفقاً لبيانات البلوكشين.
تستخدم الأنظمة الآلية آليات الاستبدال مقابل الرسوم لزيادة رسوم التحويل تدريجياً في المنافسة مع البوتات الأخرى. في بعض الحالات، تدفع المعاملات الفرعية ما يصل إلى 99.9% من قيمة المعاملة كرسوم، وفقاً للمراقبين الذين يتابعون هذا النشاط.
تمثل المفاتيح الخاصة العنصر الأمني الأكثر أهمية لحماية ممتلكات البيتكوين. عندما يتم كشف مفتاح خاص أو اشتقاقه من أنماط بيانات شائعة، تحدث السرقة عادةً على الفور، وفقاً لخبراء أمن العملات المشفرة.
تستخدم العديد من المحافظ المخترقة ذات المفاتيح الخاصة غير العشوائية عبارات البذور بأنماط يمكن التنبؤ بها، بما في ذلك الكلمات المتكررة مثل "password" أو "bitcoin" أو "abandon"، وفقاً للباحثين في مجال الأمن. يمكن لأي نمط غير عشوائي يفتقر إلى العشوائية الحقيقية أن يكشف المفتاح الخاص ويمكّن الأنظمة الآلية من استنزاف الإيداعات إلى المفتاح العام المقابل.
توضح الحادثة أن عدم العشوائية يمكن أن يمتد إلى ما هو أبعد من أنماط الكلمات البسيطة ليشمل المعلومات العامة المسجلة في دفتر البيتكوين، مثل معرفات المعاملات لمكافآت الكتلة. يمكن أن يؤدي الفشل في إدخال العشوائية الآلية عند توليد المفاتيح الخاصة إلى تمكين هجمات القوة الغاشمة والمساس بأمن الأموال، وفقاً لخبراء التشفير.
لا يوفر تجزئة المفتاح الخاص عبر معرف المعاملة عشوائية كافية لتخزين المفتاح الخاص بشكل آمن، كما توضح الحادثة. يمكن للمعدنين ومراقبي الميمبول الآخرين مراقبة معرفات المعاملات بحثاً عن عدم العشوائية ومحاولة بث معاملات السرقة باستخدام المفاتيح الخاصة المكشوفة، وفقاً لمحللي أمن البلوكشين.
المصدر: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
