Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее.
Всем кто хочет заработать Биткоины без вложений – рекомендую сайт http://bitcoin-zarabotat.ru
20 июня 2017, 3:54:59 AM
# 2
где вы получили эту информацию?
AFAIK, вы получите только взломан, если устройство, которые ваш кошелек был заражен вредоносными программами, с тем, что хакеры будут иметь доступ на ваш кошелек и тратить свои монеты
20 июня 2017, 7:29:05 AM
# 3
Bitcoin адрес является общедоступным. Каждый Bitcoin адрес, который когда-либо был использован для получения биткойны могут быть найдены в общественном blockchain. Там нет ничего скрытого или зашифрованы об адресе Bitcoin.
Возможно, вы спрашиваете о расчете закрытый ключ, связанный с Bitcoin адрес? В этом случае, это эффективно невозможно до тех пор, пока секретный ключ генерируется из случайного источника достаточно. Таким образом, ваш вопрос все равно будет нонсенсом.
Возможно, вы спрашиваете КРАЖА закрытый ключ, связанный с Bitcoin адрес? В этом случае, важно признать, 2 вещи.
Во-первых, это очень трудно украсть правильно прикрепленный закрытый ключ.
Во-вторых, что есть очень большой финансовый стимул, чтобы украсть секретный ключ, так много людей будет пытаться.
Email пароли украдены все время, но если ваш адрес электронной почты пароль украден, то кто-то может прочитать электронную почту или притворяться вас и отправить электронную почту с вашего счета. Существует какая-то польза для вора, но получает значительную финансовую выгоду от адреса электронной почты является сложным.
Пароли банка похищены все время, но если ваш банк пароль украден, то банк может отменить или отменить большинство операций до тех пор, как они обнаружили достаточно скоро. Существует какая-то польза для вора, но получает значительную финансовую выгоду от банка passord сложно. Поскольку банковские переводы централизованы и легко отследить, существует значительный риск для вора при попытке получить доступ к денежным средствам.
Bitcoins ценна, почти невозможно отменить или отменить правильно сформированную сделку после того, как оно было отправлено, а так как сеть децентрализована очень трудно определить, кто имеет доступ к Bitcoins, как только они будут приняты.
Сочетание большого финансового стимулирования и необратимой сделка привлекает много воров, чтобы попытаться украсть личные ключи или трюк / жульничество людей в отправке их биткойно.
20 июня 2017, 1:22:46 PM
# 4
20 июня 2017, 1:39:46 PM
# 5
Bitcoin адрес является общедоступным. Каждый Bitcoin адрес, который когда-либо был использован для получения биткойны кал быть найдены в общественном blockchain. Там нет ничего скрытого или зашифрованы об адресе Bitcoin.
Возможно, вы спрашиваете о расчете закрытый ключ, связанный с Bitcoin адрес? В этом случае, это эффективно невозможно до тех пор, пока секретный ключ генерируется из случайного источника достаточно. Таким образом, ваш вопрос все равно будет нонсенсом.
Возможно, вы спрашиваете КРАЖА закрытый ключ, связанный с Bitcoin адрес? В этом случае, важно признать, 2 вещи.
Во-первых, это очень трудно украсть правильно прикрепленный закрытый ключ.
Во-вторых, что есть очень большой финансовый стимул, чтобы украсть секретный ключ, так много людей будет пытаться.
Email пароли украдены все время, но если ваш адрес электронной почты пароль украден, то кто-то может прочитать электронную почту или притворяться вас и отправить электронную почту с вашего счета. Существует какая-то польза для вора, но получает значительную финансовую выгоду от адреса электронной почты является сложным.
Пароли банка похищены все время, но если ваш банк пароль украден, то банк может отменить или отменить большинство операций до тех пор, как они обнаружили достаточно скоро. Существует какая-то польза для вора, но получает значительную финансовую выгоду от банка passord сложно. Поскольку банковские переводы централизованы и легко отследить, существует значительный риск для вора, пытающегося получить доступ к денежным средствам.
Bitcoins ценна, почти невозможно отменить или отменить правильно сформированную сделку, как только оно было отправлено, а поскольку сеть децентрализована очень трудно определить, кто имеет доступ к Bitcoins одной они приняты.
Сочетание большого финансового стимулирования и необратимой сделка привлекает много воров, чтобы попытаться украсть личные ключи или трюк / жульничество людей в отправке их биткойно.
20 июня 2017, 2:17:53 PM
# 6
Представьте, у вас есть какие-то подлые шпионы на ваш ПК, что делает скриншот каждые 10 секунд, и отправляет его злоумышленнику. В тот момент, вы создаете бумажник и запишите свои 12 тайные слова, он их тоже. Теперь у него есть только подождать, пока не большие деньги в кошельке aaaaaand он ушел.
Дело в том, что вы вряд ли можете быть 100% уверены, что ваш компьютер не будет нарушен.
20 июня 2017, 2:39:05 PM
# 7
Хорошая новость заключается в том, что, если вы беспокоитесь о безопасности, вы можете создать и использовать свой кошелек на компьютере, который никогда не подключен к Интернету, так что даже если у вас есть "подлый шпионское" "что делает скриншот каждые 10 секунд" она не может когда-либо "отправить его злоумышленнику",
Вы не можете сделать это с помощью электронной почты или банковского счета, вы можете?
20 июня 2017, 6:33:47 PM
# 8
Вы используете кавычки, чтобы сделать удовольствие от меня? Зачем "если вы обеспокоены"?. Все должны быть заинтересованы. Это ответственность всех и каждого, чтобы обеспечить их кошельки, и большинство людей не знают, как трудно иметь безопасный настольный кошелек.
1. Кто имеет компьютер, который никогда в Интернете? 2. Сколько пользователей осведомлены о рисках? 3. Как именно вы отправляете транзакцию из автономного компьютера? Может быть, что это сложно?
20 июня 2017, 8:16:18 PM
# 9
Представьте, у вас есть какие-то подлые шпионы на ваш ПК, что делает скриншот каждые 10 секунд, и отправляет его злоумышленнику. В тот момент, вы создаете бумажник и запишите свои 12 тайные слова, он их тоже. Теперь у него есть только подождать, пока не большие деньги в кошельке aaaaaand он ушел.
Дело в том, что вы вряд ли можете быть 100% уверены, что ваш компьютер не будет нарушен.
Если вы не умственно отсталый и имеют почти нулевой балл IQ, в противном случае я уверен, что вы могли бы знать легко, если вы были заражены мат.
Поскольку большинство людей используют окно, вы не знаете, как использовать журналы событий, просмотр событий? если вы хотите увидеть, насколько безопасны Bitcoin адреса только
Идите и посмотрите на directory.io там вы можете иметь доступ ко всем закрытым ключам, просто помните каждую страницу, которую вы открыть сохраняет
Данные (клавиши + адреса) на жестком диске, и вы, возможно, придется иметь жесткий диск с размером луны буквально хранить все из них, чтобы проверить
1. Кто имеет компьютер, который никогда в Интернете?
Вы можете использовать автономный Linux Live CD, а не весь компьютер
2. Сколько пользователей осведомлены о рисках?
Чем больше Bitcoins пользователь имеет более вероятно, что он будет самообразованием о рисках.
3. Как именно вы отправляете транзакцию из автономного компьютера? Может быть, что это сложно?
Вы можете использовать автономный смартфон или камеру для передачи неподписанных транзакций с помощью QR-кодов, или вы можете использовать флэш-накопитель для передачи файлов, содержащих неподписанные транзакции.
Ваш онлайн-компьютер создает неподписанную транзакцию. Вы переводите, что ваш компьютер в автономном режиме с помощью кода или флэш-накопитель QR. Ваш бумажник форума подписывает сделку, используя свой закрытый ключ. После этого вы передаете транзакцию обратно в онлайн-компьютер с помощью телефона / камеры / флэш-накопитель, и транслировать его с помощью интернет-кошелек.
Это безопасно, потому что закрытый ключ вашего форума кошельков никогда не подвергаются воздействию интернета.
Взлом Биткоин-кошельков — историческая справка
Можно ли взломать Биткоин-кошелек из уязвимости криптовалюты
Приватный ключ — «слабое звено»
Программы для взлома Биткоин-кошелька — миф или реальность
Программа Atrax
Brainflayer
«Биткоин-коллайдер»
Распространенные способы кражи Bitcoin
Взлом Биткоин-кошелька — комплекс действий, направленный на поиск уязвимости криптовалютного хранилища и кражу имеющихся на нем монет с помощью специальных программ или доверчивости владельца. На июль 2018 года существует множество примеров, когда добычей хакеров становились кошельки обычных пользователей и целые биржи. Результат действий злоумышленников часто неутешителен для владельцев криптовалют — потеря Биткоинов и невозможность вернуть сбережения. Можно ли взломать хранилище Bitcoin? Как это сделать? Какие программы для этого применяются? Что учесть для защиты виртуальных монет? Эти и ряд других моментов рассмотрим ниже.
Взлом Биткоин-кошельков — историческая справка
В Сети можно встретить множество споров, касающихся взлома бумажников Bitcoin. Итогом дискуссии, как правило, становится выделение двух основных способов — путём получения доступа к ПК владельца виртуальных монет, через подбор ключей (с помощью личных данных пользователя).
В первом случае вина лежит полностью на владельце Биткоинов, который не защитил должным образом компьютер и позволил злоумышленникам украсть личные данные с помощью вируса или червя. Что касается второго способа, для его реализации нужен софт для взлома Биткоин-кошельков и определённые знания о криптовалютах.
Если приводить случаи из истории, за время существования Bitcoin произошло много резонансных событий. Вот только некоторые них:
2011 — взлом криптовалютной биржи Mt.Gox, результатам которого стала кража 650 000 BTC.
2014 — воровство монет с биржевой площадки Cryptsy. Злоумышленникам удалось увести 13 тысяч Биткоинов и ещё 300 тысяч Лайткоинов.
2015 — пострадала биржевая площадка Bitstamp, с которой украдено 19 тысяч BTC. На тот период это составляло около 5 миллионов долларов. Сегодня эта сумма выше — около 155 миллионов долларов.
2016. В период с апреля по август пострадало сразу три биржи — ShapeShift, Gatecoin и Bitfinex. В первом случае было украдено около 315 Биткоинов, во втором — 250, а в третьем — 119756 BTC.
2017 — кража 4700 BTC с сервиса NiceHash.
2018 — кража 158,89 BTC у украинца. Правда похищение было не сетевым, а физическим. Владельца закрыли в гараже и угрозами заставили отдать всё, что есть.
Это далеко не все случаи, связанные с взломом криптовалютных бирж и сервисов онлайн-кошельков. Так, в конце 2017 года в новостях прошла информация об аресте программиста из Китая, который украл BTC из Биткоин-кошельков на сумму 2 млн долларов.
Кража криптовалюты произошла следующим образом. Злоумышленник был модератором группы о взломах обменников криптовалюты, публиковал новости о способах краж и путях защиты от обмана. Один из пользователей добавился в группу и при прочтении очередной новости загрузил приложение, создающее новый адрес для бумажника Bitcoin. В результате все монеты со счёта были украдены.
Со временем полиции удалось поймать злоумышленника. Им оказался программист, который взломал кошелек Bitcoin и написал специальный софт, передающий создателю имя и пароль пользователя. Для отправки информации достаточно загрузить программу на ПК и отправить монеты. Всего преступнику удалось совершить три кражи на сумму около 3 миллионов долларов.
Большинство случаев взлома касается криптовалютных бирж, но это не говорит о «слабости» самого Bitcoin. Речь идет о получении доступа к хранилищу с личными ключами пользователей, не более. Криптовалютная сеть, в свою очередь, не отвечает за безответственное хранение адресов Биткоин (это прерогатива владельцев). Иными словами, ситуации со взломом криптовалютных бирж или иных сервисов для хранения личных ключей нельзя сопоставлять со слабой защитой Биткоин-кошелька или системы блокчейн.
Можно ли взломать Биткоин-кошелек из уязвимости криптовалюты?
Несмотря на надежность системы Bitcoin, в ней имеется ряд уязвимостей (слабых мест), которыми могут воспользоваться злоумышленники. К главным проблемам можно отнести:
Ошибка в коде (уязвимость программного обеспечения). Биткоин — первая криптовалюта, существующая только 9 лет. В течение этого срока код кошелька Биткоин Кор постоянно оптимизировался, а программисты при выпуске новых версий устраняли имеющиеся баги. Любое изменение в код обсуждается специалистами с разных уголков планеты. Но даже это не дает гарантий полной защиты системы, и вероятность ошибок все равно остается. Один из примеров — случай, произошедший еще в 2010 году. В 1-й транзакции удалось передать больше 184 млрд BTC. Причиной стала ошибка в коде, которая впоследствии была устранена. Разработчики «подчистили» программу в течение 2–3 часов и поменяли «грязный» блок.
Взлом личных ключей. Известно, что адреса BTC тесно взаимосвязаны с личными ключами с помощью криптоалгоритма SHA-256. Особенность хэш-функции в том, что определить личный ключ, имея на руках адрес Bitcoin, не получится. Для поиска необходимого значения придется перебирать множество вариантов, а именно 2 в степени 256. В результате получается число с 78 цифрами. Даже теоретически отыскать необходимый параметр с помощью оборудования любой мощности — крайне трудная задача. Учёные подсчитали, что даже при объединении мощностей всех имеющихся ПК, для расчета потребовалось бы время, соизмеримое с периодом существования вселенной. Но технологии не стоят на месте. Есть вероятность, что в будущем появится компьютер нового образца, которому удастся подобрать необходимый код. К примеру, для этих целей может использоваться квантовый ПК, разработкой которого занимаются современные ученые.
Атака 51 %. Суть ситуации в том, что один человек или группа лиц получают управление более 50 % мощностей системы. В теории наличие такой производительности позволяет получить контроль над криптовалютной сетью и использовать свое могущество для кражи виртуальных монет. При таких обстоятельствах злоумышленники вправе создавать новые операции, отменять другие сделки, расходовать одни и те же BTC больше одного раза и так далее. Защита от этого — высокие расходы на майнинг, из-за чего захват столь огромных мощностей является экономически невыгодным. На конец июля 2018 года для проведения такой атаки потребуется больше 4 миллиардов долларов. Сюда же стоит прибавить расходы на электроэнергию, которые исчисляются 6–8 миллионами долларов в день.
Отвечая на вопрос, можно ли взломать Биткоин-кошелёк, напрашивается ответ «да». Но сделать это без «помощи» владельца крайне трудно. Система надёжно защищена от постороннего вмешательства, а попытки захвата мощностей экономически нецелесообразны.
Приватный ключ — «слабое звено»
Виртуальные монеты Биткоин — общедоступный реестр блокчейн, в котором хранятся сведения обо всех проведённых операциях в сети. Это значит, что от владельца Bitcoin требуется лишь наличие персонального ключа, который можно держать на разных носителях информации (жестком диске, флешке, бумаге и так далее).
Как правило, мошенникам не интересны бумажники пользователей, где хранится небольшой объём криптовалюты. Они ориентируются на площадки с огромным числом личных ключей, открывающих доступ к десяткам тысяч Bitcoin. Чтобы определить жертву, хакеры принимают меры для получения персональных ключей. Для этого используются стандартные методы — вирусы, подставные сервисы, фишинговые сайты, специальные программы и так далее. Как только у злоумышленника в руках оказывается персональный ключ, работа сделана.
Программы для взлома Биткоин-кошелька — миф или реальность?
На криптофорумах и тематических площадках часто ведутся дискуссии о наличии программ для взлома Биткоин-кошелька и их эффективности. Предположительно, такой софт выполняет действия, направленные на кражу криптовалюты с бумажников других пользователей. Несмотря на сложность реализации идеи, количество подобных программ в Сети зашкаливает. Они носят разные названия, но суть остаётся неизменной (пример — BitCoin Cracker).
Специальный софт может распространяться бесплатно или предлагаться за деньги. Одновременно с программами появляются и специальные сервисы, якобы позволяющие «генерировать» Биткоины после внесения определённой суммы. В результате после отправки указанных средств пользователь остается ни с чем.
Второй вариант программ для взлома ориентирован на поиск слабых мест в коде. Человеку достаточно скачать, установить и запустить программу, после чего она самостоятельно «собирает» Биткоины. Эксперты уверяют, что подобны софт — обман. Он не сможет выполнять заявленные функции даже в теории. К примеру, разработчики упомянутой выше программы уверяют, что пользователь может получить до 3,5 монет за 10 минут. Параллельно с этим они предупреждают, что частое применение софта опасно и чревато последствиями. Несложно догадаться, что такая «генерация» криптовалюты невозможна.
Программа Atrax
Тот факт, что Интернет переполнен обманными приложениями, не исключает наличие реально действующих программ. Недавно в Сети обнаружено новое приложение под названием Atrax. Его задача — оказание помощи злоумышленникам в краже Биткоинов с бумажников пользователей. Программа обнаружена на многих форумах, а сами разработчики продвигают платно по цене 250$.
Особенность Atrax заключается в том, что она разработана для использования вместе с браузером ТОР, что позволяет защитить реальное имя преступника от правоохранительных органов. Покупкой «голой» программы все не ограничивается. При желании человек может приобрести и инсталлировать плагины с дополнительным функционалом. Их назначение может быть различным — организация ДДОС-атак, поиск Bitcoin для кражи, сбор сведений о владельца Биткоинов и так далее.
Перед тем, как взломать Биткоин-кошелек, пользователь устанавливает Atrax и дополнительный плагин «Для грабителя» (стоимость последнего составляет 110$). Задача программы заключается в определении вспомогательного пароля, указанного владельцем бумажника. Еще один плагин помогает отслеживать ПК владельцев определенной суммы криптовалюты. Такой инструмент обойдется в 150$. При желании можно купить и доставить приложение для ДДОС-атак, которое обойдется в 90–100 долларов. Софт для получения доступа к аккаунтам обходится в большую сумму — до трехсот долларов.
Программа Atrax уже использована на практике. С помощью DDoS-атаки на один из серверов хакерам удалось украсть криптовалюты на сумму около миллиона долларов.
Brainflayer
Ещё одна программа для кражи Биткоинов — Brainflayer. Известно, что для хранения криптовалюты часто используется кодовая фраза (brainwallet), которая хранится в памяти владельца виртуальных денег. Человек запоминает набор слов, что позволяет держать огромное состояние «у себя в голове» без необходимости хранения данных на ПК. Проведенные недавно исследования показали, что такой способ защиты имеет уязвимость.
Адрес Bitcoin фиксируется в blockchain в качестве хэша приватного ключа (формируется на базе пароля). В случае применения аутентификации упомянутый хэш помогает выявить набор слов, а в дальнейшем сравнить их с подлинной фразой. Следовательно, такие сведения могут применяться злоумышленниками, которые находятся в поисках пароля.
Программа Brainflayer как раз и предназначена для поиска этой информации. Она способна перебирать больше 130 тысяч паролей ежесекундно. Если запустить софт на более мощной машине (для этого можно взять в аренду облако), эффективность работы повышается в 350 тысяч раз. Создатель программы уверяет, что его разработка способна изучить каждый адрес криптовалютной сети в течение суток.
Плюс в том, что разработчиком программы является «белый» хакер, который не планирует использовать разработку для личной выгоды. Он создал программу, чтобы доказать факт наличия уязвимостей и необходимость принятия мер для защиты сбережений пользователей. Программа создана ещё в 2013 году, и уже при первом запуске ей удалось собрать 250 Биткоинов. Впоследствии разработчик связался с владельцем криптовалюты и вернул деньги.
Технология имеет большое будущее. Создатель программы Райан Кастеллуччи (Ryan Castellucci) уверяет, что при запуске софта на ботнете число перебираемых фраз приближается к ста миллиардам. Чтобы защитить Биткоины от кражи, рекомендуется использовать случайный набор букв и цифр, а лучше применять diceware, используемый для создания пароля генератор случайных чисел.
«Биткоин-коллайдер»
Недавно в Сети появилась группа лиц, которая утверждает, что может красть Bitcoin с помощью вычислительных мощностей. Результат достигается в результате подбора приватных ключей. Выше мы отмечали, что вероятность такого подбора крайне низка и стремится к нулю. В свою очередь, представители группы уверяют, что используют для решения задачи распределённую сеть, то есть большое число ПК пользователей. Чтобы стать участником, достаточно установить специальную программу и подключиться к процессу.
Создатель проекта заявляет, что за время работы удалось получить больше 300 квадриллионов личных ключей. Около 30 из них подошли, но только на трёх бумажниках была криптовалюта. Еще одна цель проекта — поиск криптографической коллизии, что несет риски для алгоритмов хэширования.
Существует мнение, что реальная задача организации заключается в поиске потерянных Биткоинов, которые созданы до 2012 года, но так и не попали в общий оборот. Итоговая сумма «потерянных» Bitcoin составляет несколько миллиардов долларов.
Распространенные способы кражи Bitcoin
Рассматривая вопрос, как взломать Биткоин-кошелек в 2018 году, выделяются следующие способы (они наиболее распространены):
Скачивание вредоносной программы на ПК. Такой софт может маскироваться под майнер, код для взлома кранов и так далее. К примеру, на почтовый ящик человека приходит программа, позволяющая взломать Биткоин-кран и зарабатывать до 200 сатоши ежеминутно. Пользователь её инсталлирует, что приводит к заражению ПК. Вирус контролирует действия владельца компьютера и отправляет пароли злоумышленнику. При запуске программа может потребовать сведения о кошельке и пароле, которые человек вводит не задумываясь. Иной вариант вредоносного ПО может установить в браузер программу, автоматически перенаправляющую на поддельный сайт. К примеру, человек думает, что попал на официальный ресурс кошелька, а на самом деле оказался на поддельной странице. Как результат, личные сведения оказываются в руках злоумышленников.
Массовая кража. Для повышения прибыли хакеры часто получают доступ к биржевым площадкам, что делается путём взлома ПК администрации или работы с первичным кодом сайта. Как отмечалось, таких случаев много.
Подставной майнер. Пользователь качает программу для майнинга, которая отправляет заработанные деньги на кошелек злоумышленника. Такие скрипты являются распространенным явлением, и начинающие пользователи редко на них обращают внимание.
Чтобы защитить от взлома, важно выбирать бумажник с возможностью создать резервную копию личного ключа при помощи seed-фразы. Кроме того, для продолжительного хранения криптовалюты лучше использовать аппаратные бумажники, к примеру, Ledger или Trezor. Если выбирать из остальных вариантов, важно, чтобы личные ключи хранились на устройстве, а не на стороннем сервисе или в облаке. Это значит, что лучше отдать предпочтение локальным бумажникам, а не онлайн-сервисам, безопасность которых ниже.
Видео о способе кражи Биткоинов с кошелька blockchain.info:
"Белый хакер" создал новый инструмент, показывающий, что можно с легкостью украсть биткоины из кошельков, созданных по технологии "brainwallet", где кодовая фраза хранится только в памяти пользователя. Первоначально задуманный как способ сохранения конфиденциальных данных в автономном режиме, brainwallet использует один длинный пароль или фразу, преобразует его в закрытый ключ, открытый ключ и наконец в адрес.
Простое запоминание сложной фразы позволяет любому пользователю держать миллионы долларов цифровой наличности фактически в собственной голове, без необходимости хранить какие-либо записи на компьютере.
Однако, оказывается, что ум является удивительно уязвимым местом, и не составляет особого труда подобрать ключ к вашим крипто-активам.
Исследователь в сфере информационной безопасности Райан Кастелуччи из фирмы White Ops указал на наличие серьезной уязвимости в этом методе. Он подчеркивает, что конечный адрес Биткоин записывается в блокчейне как хэш закрытого ключа, созданного на основе пароля. При использовании для аутентификации на веб-сайте, хэш пароля поможет определить слово или фразу, сравнив её с оригиналом. Это означает, что данные могут быть использованы взломщиками, которые ищут пароль.
7 августа на DEF CON 23, одной из крупнейших в мире ежегодных конференций хакеров, программа-взломщик brainwallet, названная Кастелуччи Brainflayer, оказалась способна перебирать пароли с частотой 130 000 раз в секунду. Запуск на более мощных компьютерах, например в арендованном облаке, который обойдётся в $1, может быть использован для перебора 560 миллионов фраз в секунду. При этом, система применима и для ASCII паролей, построенных на символах клавиатуры США, и XKCD паролей. Кастеллуччи заявил, что его бот может проверить каждый адрес Биткоин, который когда-либо получал средства, в течение одного дня.
В интервью Кастеллуччи стремился подчеркнуть, что хотя созданный им инструмент может быть использован преступниками, он надеется, что его исследования будут стимулировать пользователей Bitcoin к поиску лучших методов безопасности для защиты своих сбережений.
Вы можете кричать с крыш, что кто-то слаб и уязвим, но многие люди просто будут всё отрицать без наличия работающего доказательства концепции. Я думаю, что концепция, которая позволяет людям выбирать свои собственные пароли и фразы для высокопроизводительных приложений, является в корне ошибочным подходом к безопасности.
В этом случае, презентация Кастелуччи не прошла незамеченной. После ее выхода веб-сайт BrainWallet.org, который генерирует личные ключи для пользователей и использует JavaScript, перешел в автономный режим. Хотя другие услуги остаются доступными, закрытие было очень высоко оценено членами сообщества Bitcoin.
Начало проекта
Развитие проекта началось в середине 2013 года, когда первые пользователи Биткоина начали испытывать проблемы с безопасностью brainwallet. Примерно в то же время один из пользователей Reddit, известный как btcrobinhood (BTC Робин Гуд), начал воровать монеты из brainwallets, возвращая их потом законным владельцам в целях разоблачения уязвимости технологии.
Вдохновленный этим примером, Кастеллуччи создал оригинальную программу-взломщик Brainflayer, которая могла выдавать 10 000 паролей, предугадывая все возможные варианты.
Когда он вернулся к своему компьютеру, на котором была запущена программа, он нашел 250 ВТС, уже извлеченных из чужого кошелька благодаря уязвимостям в технологии Brainwallet.
Кастеллуччи был поставлен в трудную ситуацию. У него было два варианта – взять несколько BTC как оплату за свои исследования, и предупредить пользователей бумажников, что их безопасность под угрозой, или попытаться связаться с ними с помощью других средств. В конце концов, ему удалось связаться с владельцем и убедить его переместить биткоины в более безопасный кошелек.
Когда проблема не исчезла, он решил вернуться к исследованиям, утверждая, что это его обязанность – раскрыть уязвимость, чтобы пользователи могли принять соответствующие меры и повысить свой уровень защищенности.
Будущее технологии
Также он предложил тем, кто использует brainwallet, рассмотреть улучшенную реализацию данной идеи – WarpWallet.
Кастелуччи говорит, что в уравнение WarpWallets интегрирована «соль» – случайные данные, используемые для входа при хэшировании функции. Это означает, что если «солью» пользователя был его адрес электронной почты, потенциальному вору нужно знать не только пароль, но и адрес.
Тем не менее, Кастеллуччи советует тем, кто использует кошельки на brainwallet, применять наборы случайных чисел и символов. А еще лучше использовать diceware – процесс, посредством которого пароли создаются с помощью пары генераторов случайных чисел.
Кастелуччи не сказал точно, сколько ключевых фраз Brainflayer способен угадывать на одном компьютере. Но он намекает, что если его программа будет запущена в ботнете, то цифра может приближаться к ста миллиардам ключевых фраз в секунду. Более того, он говорит, что программа PassPhrase оптимизирована для задачи быстрой генерации ключей Bitcoin и сканирования блокчейна.
Для наиболее эффективного сканирования и проверки блокчейна он использовал метод, известный как фильтр Bloom. Его результат пока не достигает триллиона ключевых фраз в секунду, о чем ранее предупреждал Сноуден, подразумевая достижения АНБ. Тем не менее, это может удивить многих людей, которые считают, что их ключевые фразы являются безопасными.
Бюро находок
Когда его спросили, как он планирует продолжить свою работу, Кастеллуччи сказал, что он все еще в процессе планирования следующих исследований. Он работает над добавлением новых инструментов в brainwallet, как и в Brainflayer. В том числе это режим, который будет сканировать "плохие" приватные ключи.
