Một người dùng Bitcoin đã mất tiền sau khi gửi tiền điện tử đến một ví bị xâm phạm sử dụng mã định danh giao dịch từ phần thưởng khối coinbase làm khóa riêng tư.
Tóm tắt
- Một người dùng Bitcoin đã gửi 0.84 BTC đến một ví bị xâm phạm có khóa riêng tư được tạo ra từ ID giao dịch (TxID) coinbase của khối 924,982, khiến nó bị lộ và dẫn đến mất cắp.
- Các chương trình tự động giám sát mempool đã phát hiện khoản nạp tiền và cạnh tranh thông qua các giao dịch thay thế bằng phí, đôi khi trả gần 100% giá trị dưới dạng phí để chiếm đoạt tiền.
- Việc sử dụng dữ liệu có thể dự đoán hoặc có sẵn công khai—như ID giao dịch (TxID) hoặc các mẫu từ phổ biến—cho khóa riêng tư cho phép khai thác ngay lập tức, làm nổi bật tầm quan trọng then chốt của entropy thực sự trong việc tạo khóa.
ID giao dịch (TxID) của Coinbase từ khối 924,982 đã được sử dụng làm khóa riêng tư cho ví, tạo ra lỗ hổng bảo mật kích hoạt hoạt động bot tự động, theo ấn phẩm tiền điện tử Protos.
Sự cố này đã thúc đẩy các chương trình máy tính tự động kết nối với bộ nhớ đệm, hoặc mempool, của Bitcoin chứa các giao dịch đang chờ xử lý để cạnh tranh giành tiền. Các bot này tự động phát hiện tiền nạp vào ví bị xâm phạm và phát sóng các giao dịch thay thế bằng phí để trả giá cao hơn phí của các chương trình cạnh tranh cho các thợ đào đối với các giao dịch rút tiền.
Trong trường hợp được báo cáo, 0.84 BTC đã được gửi và mất đến một địa chỉ có khóa riêng tư không ngẫu nhiên được tạo ra từ mã định danh coinbase của một khối, theo dữ liệu blockchain.
Các hệ thống tự động sử dụng cơ chế thay thế bằng phí để tăng dần phí giao dịch trong cuộc cạnh tranh với các bot khác. Trong một số trường hợp, các giao dịch con trả tới 99.9% giá trị giao dịch dưới dạng phí, theo những người quan sát giám sát hoạt động như vậy.
Khóa riêng tư đại diện cho yếu tố bảo mật quan trọng nhất để bảo vệ tài sản bitcoin. Khi một khóa riêng tư bị lộ hoặc được tạo ra từ các mẫu dữ liệu phổ biến, hành vi trộm cắp thường xảy ra ngay lập tức, theo các chuyên gia bảo mật tiền điện tử.
Nhiều ví bị xâm phạm với khóa riêng tư không ngẫu nhiên sử dụng cụm từ khóa với các mẫu có thể dự đoán, bao gồm các từ lặp lại như "password", "bitcoin" hoặc "abandon", theo các nhà nghiên cứu bảo mật. Bất kỳ mẫu không ngẫu nhiên nào thiếu entropy thực sự đều có thể lộ khóa riêng tư và cho phép các hệ thống tự động rút cạn tiền nạp vào khóa công khai tương ứng.
Sự cố này chứng minh rằng tính không ngẫu nhiên có thể mở rộng ra ngoài các mẫu từ đơn giản để bao gồm thông tin công khai được ghi lại trên sổ cái Bitcoin, chẳng hạn như ID giao dịch (TxID) của phần thưởng khối. Việc không đưa vào entropy cơ học khi tạo khóa riêng tư có thể cho phép các cuộc tấn công brute-force và làm tổn hại đến bảo mật tài khoản, theo các chuyên gia mật mã học.
Việc băm một khóa riêng tư thông qua ID giao dịch (TxID) không cung cấp đủ entropy cho việc lưu trữ khóa riêng tư an toàn, sự cố này minh họa. Các thợ đào và những người quan sát mempool khác có thể giám sát ID giao dịch (TxID) để tìm tính không ngẫu nhiên và cố gắng phát sóng các giao dịch trộm cắp bằng cách sử dụng các khóa riêng tư bị lộ, theo các nhà phân tích bảo mật blockchain.
Nguồn: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
