Brain Wallet adalah cara yang andal untuk mentransfer bitcoin Anda ke cracker

Active Attackers Society sering mengosongkan dompet virtual dalam beberapa menit setelah mengaktifkannya.


Foto: NoHoDamon

Peretas menarik sekitar $ 103 ribu dari akun Bitcoin yang dilindungi oleh langkah-langkah keamanan alternatif. Jumlah inilah yang dibicarakan oleh para peneliti yang melacak transaksi dalam jaringan Bitcoin. Dan ini hanya sebagian kecil dari apa yang dicatat. Masalahnya terkait dengan akun-akun yang dilindungi oleh kata sandi yang mudah diingat, bukan kunci kriptografis panjang yang biasa digunakan. Kita berbicara tentang apa yang disebut "dompet otak": pengguna menciptakan kata sandi, menjalankannya melalui fungsi hash, dan pada output menerima kunci kriptografiknya. Dalam hal ini, Anda hanya perlu mengingat kata rahasia, kata sandi, dan bukan kunci itu sendiri. Apakah itu nyaman? Ya Apakah ini aman? Ternyata tidak.

Sekitar 900 akun dikosongkan oleh cracker digital, yang penggunanya menggunakan kata sandi otak untuk membuat kunci enkripsi pribadi yang diperlukan untuk menarik dana. Dalam banyak kasus, akun rentan dikosongkan dalam beberapa menit atau bahkan beberapa detik setelah mengaktifkan dan meninggalkan akun online. Pada saat yang sama, selama bertahun-tahun, pengguna Bitcoin telah mencoba mengingat kata sandi, daripada menggunakan kunci kripto, mengingat metode ini aman dan nyaman. Para ahli memperingatkan bahwa ini adalah kekeliruan, tetapi peringatan itu tidak banyak membantu.

Tidak ada masalah bagi penyerang untuk meretas akun dompet otak. Di Defcon, belum lama ini, sebuah teknologi untuk meretakkan dompet dipertunjukkan, yang jelas menunjukkan ketidakamanan kata sandi. Akun tanpa garam , tetapi dengan kata sandi yang diingat, diretas dalam sepersekian detik. Penyerang meretas seluruh grup akun sekaligus. Perlu diingat bahwa kata sandi hash disimpan di blockchain, memberikan informasi kepada peretas.

Masalah dengan metode perlindungan ini adalah prediktabilitasnya. Jadi, para peneliti berbicara tentang penggunaan frasa seperti “katakan halo kepada teman kecil saya” (“halo kepada teman kecil saya”), “menjadi atau tidak menjadi”, “Berjalan Ke Ruangan Ini” ("Masuk ke Kamar Ini"), "pesta seperti itu tahun 1999" ("Bersenang-senang seperti sekarang 1999"), "yohohoandabottleofrum" ("yohohoibutkylkaroma") dan ungkapan yang sangat sederhana "Arnold Schwarzenegger" ("Arnold Schwarzenegger").

Selama periode pengamatan 6 tahun, para peneliti keamanan jaringan dapat mengidentifikasi 884 serangan hacker yang berhasil, yang memungkinkan para penyerang mencuri 1806 bitcoin. Total biaya cryptocurrency pada kurs pada saat pencurian adalah $ 103.000. Sebagian besar dari jumlah itu dicuri dari 10 dompet terkaya. Berdasarkan hasil pekerjaan mereka, para ahli menerbitkan analisis rinci tentang situasi, karya " Tiriskan Bitcoin: Kertas Pendek tentang Penggunaan dan Penyalahgunaan Dompet Otak Bitcoin .

Untuk mendeteksi dompet otak dan memecahkannya, para peneliti menguji sekitar 300 miliar kata sandi yang diambil dari 20 sumber, termasuk Urban Dictionary, Wikipedia berbahasa Inggris, bocor kata sandi dari sumber daya permainan RockYou dan lainnya.

Semua kata sandi ini dijalankan melalui fungsi hash (SHA256) untuk mendapatkan daftar yang sudah diuji di dompet asli. Dalam karya ini, metode seperti kriptografi pada kurva elips digunakan . Metode ini digunakan untuk menemukan kunci publik yang sesuai dengan masing-masing kunci pribadi. Karena blockchains berisi informasi tentang dompet jaringan apa pun, spesialis dapat mengetahui kapan kata sandi yang diduga digunakan oleh pengguna sebenarnya dari sistem.

Menariknya, di antara para cracker adalah mereka yang mengembalikan dana curian. Jadi, pengguna Reddit Robin Hood b Little John mengembalikan dana kepada orang-orang jika mereka dapat membuktikan bahwa dompet yang diretas itu milik mereka.

Kesimpulannya? Seseorang tidak dapat menghasilkan kata sandi yang cukup kuat, "dompet otak" adalah skema yang rentan untuk melindungi akun Bitcoin-nya. Beberapa pakar keamanan informasi telah memperingatkan tentang kerentanan mereka sebelumnya, dan lebih dari sekali. Tetapi ini tidak mengarah pada apa pun. Mungkin sekarang situasinya akan berubah menjadi lebih baik.

Source: https://habr.com/ru/post/id390487/