Brain Wallet es una forma confiable de transferir tu bitcoin a las galletas

La Active Attackers Society a menudo vacía billeteras virtuales a los pocos minutos de activarlas.


Foto: NoHoDamon

Los hackers extrajeron alrededor de $ 103 mil de las cuentas de Bitcoin protegidas por medidas de seguridad alternativas. Es esta cantidad de la que están hablando los investigadores que rastrearon transacciones en la red de Bitcoin durante varios años. Y esto es solo una fracción de lo que se registró. El problema se relaciona con aquellas cuentas que están protegidas por contraseñas fáciles de recordar en lugar de las claves criptográficas largas que se usan comúnmente. Estamos hablando de las llamadas "billeteras del cerebro": el usuario inventa una contraseña, la ejecuta a través de una función hash y en la salida recibe su clave criptográfica. En este caso, debe recordar solo su palabra secreta, contraseña y no la clave en sí. ¿Es conveniente? Si ¿Es seguro? Resulta que no.

Los crackers digitales vaciaron aproximadamente 900 cuentas cuyos usuarios usaron contraseñas cerebrales para crear las claves de cifrado privadas necesarias para retirar fondos. En muchos casos, las cuentas vulnerables se vaciaron en minutos o incluso segundos después de activar y dejar una cuenta en línea. Al mismo tiempo, durante muchos años, los usuarios de Bitcoin han intentado recordar contraseñas, en lugar de usar claves criptográficas, considerando este método seguro y conveniente. Los expertos advirtieron que esto era una falacia, pero las advertencias ayudaron poco.

No hay ningún problema para que un atacante piratee una cuenta de "billetera cerebral". En Defcon, no hace mucho tiempo, se demostró una tecnología para descifrar billeteras, que mostraba claramente la inseguridad de las contraseñas. Las cuentas sin sal , pero con contraseñas recordadas, fueron pirateadas en fracciones de segundo. Los atacantes descifraron grupos enteros de cuentas de una vez. Al mismo tiempo, vale la pena recordar que las contraseñas hash se almacenan en blockchains, proporcionando información a los piratas informáticos involucrados en la piratería.

El problema con este método de protección es su previsibilidad. Entonces, los investigadores hablan sobre el uso frecuente de frases como "saludar a mi pequeño amigo" ("saludar a mi pequeño amigo"), "ser o no ser", "entrar a esta habitación" ("Entra en esta habitación"), "festeja como si fuera 1999" ("Diviértete como si fueras en 1999"), "yohohoandabottleofrum" ("yohohoibutkylkaroma") y una frase muy simple "Arnold Schwarzenegger" ("Arnold Schwarzenegger").

Durante un período de observación de 6 años, los investigadores de seguridad de la red pudieron identificar 884 ataques de piratas informáticos exitosos, lo que permitió a los atacantes robar 1806 bitcoins. El costo total de las monedas de criptomonedas a la tasa en el momento del robo fue de $ 103,000. La mayor parte de la cantidad fue robada de las 10 billeteras más ricas. Con base en los resultados de su trabajo, los expertos publicaron un análisis detallado de la situación, el trabajo " The Bitcoin Brain Drain: A Short Paper on the Use and Abuse of Bitcoin Brain Wallets .

Para detectar billeteras cerebrales y descifrarlas, los investigadores probaron alrededor de 300 mil millones de contraseñas que fueron tomado de 20 fuentes, incluido el Diccionario Urbano, la Wikipedia en inglés, las contraseñas filtradas del recurso del juego RockYou y otras.

Todas estas contraseñas se ejecutaron a través de una función hash (SHA256) para obtener una lista que ya se probó en billeteras reales. En el trabajo, se utilizó un método como la criptografía en curvas elípticas . Este método se utilizó para encontrar la clave pública correspondiente a cada una de las claves privadas. Dado que las cadenas de bloques contienen información sobre cualquier billetera de red, los especialistas pudieron averiguar cuándo un usuario real del sistema utilizó la supuesta contraseña.

Curiosamente, entre los crackers estaban aquellos que devolvieron los fondos robados. Entonces, los usuarios de Reddit Robin Hood b Little John devolvieron fondos a las personas si podían probar que la billetera pirateada les pertenecía.

La conclusión? Una persona no puede encontrar una contraseña lo suficientemente segura, la "billetera del cerebro" es un esquema vulnerable para proteger su cuenta de Bitcoin. Algunos expertos en seguridad de la información han advertido sobre su vulnerabilidad antes, y más de una vez. Pero esto no condujo a nada. Quizás ahora la situación cambie para mejor.

Source: https://habr.com/ru/post/es390487/