A Brain Wallet é uma maneira confiável de transferir seu bitcoin para crackers

A Active Attackers Society geralmente esvazia as carteiras virtuais em poucos minutos após ativá-las.


Foto: NoHoDamon

Os hackers retiraram cerca de US $ 103 mil de contas Bitcoin protegidas por medidas alternativas de segurança. É dessa quantia que os pesquisadores que rastrearam transações na rede Bitcoin por vários anos estão falando. E isso é apenas uma fração do que foi gravado. O problema está relacionado às contas protegidas por senhas fáceis de lembrar em vez das longas chaves criptográficas usadas com freqüência. Estamos falando das chamadas "carteiras cerebrais": o usuário inventa uma senha, executa-a através de uma função hash e, na saída, recebe sua chave criptográfica. Nesse caso, você precisa lembrar apenas sua palavra secreta, senha e não a chave em si. É conveniente? Sim Isso é seguro? Acontece que não.

Os crackers digitais esvaziaram aproximadamente 900 contas cujos usuários usavam senhas cerebrais para criar as chaves de criptografia privadas necessárias para sacar fundos. Em muitos casos, as contas vulneráveis ​​foram esvaziadas em minutos ou mesmo segundos após a ativação e a saída da conta online. Ao mesmo tempo, por muitos anos, os usuários de Bitcoin tentaram se lembrar de senhas, em vez de usar chaves de criptografia, considerando esse método seguro e conveniente. Especialistas alertaram que isso era uma falácia, mas os avisos ajudaram pouco.

Não há problema para um invasor invadir uma conta de carteira cerebral. Na Defcon, não muito tempo atrás, foi demonstrada uma tecnologia para quebrar carteiras, que mostrava claramente a insegurança das senhas. Contas sem sal , mas com senhas lembradas, foram cortadas em frações de segundo. Os invasores invadiram grupos inteiros de contas de uma só vez. Ao mesmo tempo, vale lembrar que as senhas com hash são armazenadas em cadeias de blocos, fornecendo informações aos hackers envolvidos em hackers.

O problema com esse método de proteção é sua previsibilidade. Assim, os pesquisadores falam sobre o uso frequente de frases como “diga olá para o meu amiguinho” (“diga olá para o meu amiguinho”), “ser ou não ser” (“ser ou não ser”), “entrar nesta sala” ("Enter This Room"), "festa como se fosse 1999" ("Divirta-se como se estivesse em 1999"), "yohohoandabottleofrum" ("yohohoibutkylkaroma") e uma frase muito simples "Arnold Schwarzenegger" ("Arnold Schwarzenegger").

Durante um período de observação de 6 anos, os pesquisadores de segurança de rede foram capazes de identificar 884 ataques bem-sucedidos de hackers, o que permitiu que os invasores roubassem 1806 bitcoins. O custo total de criptomoedas à taxa no momento do roubo era de US $ 103.000. A maior parte foi roubada das 10 carteiras mais ricas. Com base nos resultados de seu trabalho, os especialistas publicaram uma análise detalhada da situação, o trabalho " A fuga de cérebros do Bitcoin: um breve artigo sobre o uso e abuso das carteiras cerebrais do Bitcoin .

Para detectar as carteiras cerebrais e quebrá-las, os pesquisadores testaram cerca de 300 bilhões de senhas que eram extraídas de 20 fontes, incluindo o Urban Dictionary, a Wikipédia em inglês, vazaram senhas do recurso do jogo RockYou e outras.

Todas essas senhas foram executadas através de uma função hash (SHA256) para obter uma lista que já foi testada em carteiras reais. No trabalho, foi utilizado um método como criptografia nas curvas elípticas . Este método foi usado para encontrar a chave pública correspondente a cada uma das chaves privadas. Como as blockchains contêm informações sobre qualquer carteira de rede, os especialistas conseguiram descobrir quando a suposta senha foi usada por um usuário real do sistema.

Curiosamente, entre os crackers estavam aqueles que devolveram fundos roubados. Assim, os usuários do Reddit Robin Hood b Little John devolveram fundos às pessoas se elas pudessem provar que a carteira invadida pertence a elas.

A conclusão? Uma pessoa não pode criar uma senha forte o suficiente; a "carteira cerebral" é um esquema vulnerável para proteger sua conta Bitcoin. Alguns especialistas em segurança da informação alertaram sobre sua vulnerabilidade antes e mais de uma vez. Mas isso não levou a nada. Talvez agora a situação mude para melhor.

Source: https://habr.com/ru/post/pt390487/