一名比特币用户在将加密货币发送到一个被入侵的钱包后损失了资金,该钱包使用了来自coinbase区块奖励的交易标识符作为其私钥。
摘要
- 一名比特币用户将0.84 BTC发送到一个被入侵的钱包,该钱包的私钥是从区块924,982的coinbase交易标识符衍生而来,导致资金暴露于被盗风险。
- 监控内存池的自动化程序检测到存款并通过替换费用交易进行竞争,有时支付近100%的价值作为手续费来获取资金。
- 使用可预测或公开可用的数据(如交易ID或常见词语模式)作为私钥会导致立即被利用,凸显了在密钥生成中真正熵的关键重要性。
根据加密货币出版物Protos报道,区块924,982的Coinbase交易标识符被用作钱包的私钥,造成了触发自动化机器人活动的安全漏洞。
该事件促使连接到比特币内存池(mempool)的自动化计算机程序竞争待处理交易中的资金。这些机器人会自动检测到被入侵钱包的存款,并广播替换费用交易,以提高支付给矿工的手续费来超越竞争程序的提现交易。
根据区块链数据,在报告的案例中,0.84 BTC被发送并损失到一个具有非随机私钥的地址,该私钥源自区块的coinbase标识符。
自动化系统采用替换费用机制来逐步提高交易手续费,与其他机器人竞争。根据监控此类活动的观察者称,在某些情况下,子交易会支付高达交易价值99.9%的手续费。
根据加密货币安全专家表示,私钥代表保护比特币资产最关键的安全要素。当私钥被暴露或从常见数据模式衍生时,盗窃通常会立即发生。
根据安全研究人员称,许多具有非随机私钥的被入侵钱包使用具有可预测模式的种子短语,包括重复的词语如"password"、"bitcoin"或"abandon"。任何缺乏真正熵的非随机模式都可能暴露私钥,并使自动化系统能够清空存入相应公钥的资金。
根据密码学专家称,该事件表明非随机性可以超越简单的词语模式,包括记录在比特币账本上的公开信息,如区块奖励的交易标识符。在生成私钥时未能引入机械熵可能导致暴力攻击并危及资金安全。
该事件说明,通过交易标识符对私钥进行哈希处理无法为安全的私钥存储提供足够的熵。根据区块链安全分析师称,矿工和其他内存池观察者可以监控交易标识符的非随机性,并尝试使用暴露的私钥广播盗窃交易。
来源: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
