Перейти к содержанию

Новый инструмент для взлома эксплуатирует уязвимость Bitcoin Brainwallets


Artifex

Рекомендуемые сообщения

140815_brainwallets_3.jpg

"Белый хакер" создал новый инструмент, показывающий, что можно с легкостью украсть биткоины из кошельков, созданных по технологии "brainwallet", где кодовая фраза хранится только в памяти пользователя. Первоначально задуманный как способ сохранения конфиденциальных данных в автономном режиме, brainwallet использует один длинный пароль или фразу, преобразует его в закрытый ключ, открытый ключ и наконец в адрес. 

Простое запоминание сложной фразы позволяет любому пользователю держать миллионы долларов цифровой наличности фактически в собственной голове, без необходимости хранить какие-либо записи на компьютере.

Однако, оказывается, что ум является удивительно уязвимым местом, и не составляет особого труда подобрать ключ к вашим крипто-активам.

Исследователь в сфере информационной безопасности Райан Кастелуччи из фирмы White Ops указал на наличие серьезной уязвимости в этом методе. Он подчеркивает, что конечный адрес Биткоин записывается в блокчейне как хэш закрытого ключа, созданного на основе пароля. При использовании для аутентификации на веб-сайте, хэш пароля поможет определить слово или фразу, сравнив её с оригиналом. Это означает, что данные могут быть использованы взломщиками, которые ищут пароль.

7 августа на DEF CON 23, одной из крупнейших в мире ежегодных конференций хакеров, программа-взломщик brainwallet, названная Кастелуччи Brainflayer, оказалась способна перебирать пароли с частотой 130 000 раз в секунду. Запуск на более мощных компьютерах, например в арендованном облаке, который обойдётся в $1, может быть использован для перебора 560 миллионов фраз в секунду.
При этом, система применима и для ASCII паролей, построенных на символах клавиатуры США, и XKCD паролей. Кастеллуччи заявил, что его бот может проверить каждый адрес Биткоин, который когда-либо получал средства, в течение одного дня.

В интервью Кастеллуччи стремился подчеркнуть, что хотя созданный им инструмент может быть использован преступниками, он надеется, что его исследования будут стимулировать пользователей Bitcoin к поиску лучших методов безопасности для защиты своих сбережений.

Кастеллуччи сказал:

Вы можете кричать с крыш, что кто-то слаб и уязвим, но многие люди просто будут всё отрицать без наличия работающего доказательства концепции. Я думаю, что концепция, которая позволяет людям выбирать свои собственные пароли и фразы для высокопроизводительных приложений, является в корне ошибочным подходом к безопасности.

В этом случае, презентация Кастелуччи не прошла незамеченной. После ее выхода веб-сайт BrainWallet.org, который генерирует личные ключи для пользователей и использует JavaScript, перешел в автономный режим. Хотя другие услуги остаются доступными, закрытие было очень высоко оценено членами сообщества Bitcoin.

Начало проекта

140815_brainwallets_1.jpg

Развитие проекта началось в середине 2013 года, когда первые пользователи Биткоина начали испытывать проблемы с безопасностью brainwallet. Примерно в то же время один из пользователей Reddit, известный как btcrobinhood (BTC Робин Гуд), начал воровать монеты из brainwallets, возвращая их потом законным владельцам в целях разоблачения уязвимости технологии.

Вдохновленный этим примером, Кастеллуччи создал оригинальную программу-взломщик Brainflayer, которая могла выдавать 10 000 паролей, предугадывая все возможные варианты. 
Когда он вернулся к своему компьютеру, на котором была запущена программа, он нашел 250 ВТС, уже извлеченных из чужого кошелька благодаря уязвимостям в технологии Brainwallet.

Кастеллуччи был поставлен в трудную ситуацию. У него было два варианта - взять несколько BTC как оплату за свои исследования, и предупредить пользователей бумажников, что их безопасность под угрозой, или попытаться связаться с ними с помощью других средств. В конце концов, ему удалось связаться с владельцем и убедить его переместить биткоины в более безопасный кошелек.

 

 

Читать полностью

Изменено пользователем Tomcat_MkII
Ссылка на комментарий
Поделиться на другие сайты

А кто автор..))))

Изменено пользователем Alex03
Ссылка на комментарий
Поделиться на другие сайты

А кто автор..))))

Творчество народное...на мотивы иностранной прессы :)

Ссылка на комментарий
Поделиться на другие сайты

Так и не понял, в какой части уязвимость? В том, что закрытый ключ генерируется из фразы? Уязвим ли Seed от Electrum? Или таким образом подбирают фразу под bip-38 ?

Ссылка на комментарий
Поделиться на другие сайты

 

 

Уязвим ли Seed от Electrum? Или таким образом подбирают фразу под bip-38 ?

 

Здесь в основном речь о "чистых" брейнваллетах, например NXT. Но Electrum тоже не совершенен - там конечный набор слов, причем только в нижней латинице.

 

 

 

А кто автор..))))

 

Склеил

Ссылка на комментарий
Поделиться на другие сайты

Ну  тут надо маленькое уточнение. Райан Кастелуччи в своей программе использует перебор  так называемых хkcd-фраз, т е фраз взятых из популяпных на западе комиксов (оказывается большинство юзеров используют именно их, заменяя определенные символы другими, например а - @).

 

Чисто случайную комбинацию скажем из 200хсот АСКИ символов хрен подберешь даже на ботнете, реализованном на всех имеющихся компах вместе взятых - раньше Вселенная исчезнет Будут квантовые компьютеры, тогда будет другой разговор

Ссылка на комментарий
Поделиться на другие сайты

  • 2 месяца спустя...

Решил не создавать тему, спрошу тут.
Что случилось с brainwallet.github.io?

Где теперь безопасно генерировать такие кошельки?

Изменено пользователем MaoChao
Ссылка на комментарий
Поделиться на другие сайты

А что пишет сайт? а Именно закрыто на постоянной основе!

Ибо нечего глупостью заниматься, когда на кону своё кровно нажитое.

А генерировать кошельки безопасно, только на локальном компьютере без включения сети, желательно в вируталке, может и какие еще параноидальные способы предложат.

Ссылка на комментарий
Поделиться на другие сайты

  • 2 года спустя...

Значит Электрумом пользоваться нельзя, который генерирует приватный ключ на основе случайных слов? Наверное нельзя пользоваться никакими сервисами, которые генерируют приватный ключ, может быть сужен лимит выбора намеренно, по разным паролям могут генерить одинаковый приватник, даже официальными кошельками нельзя пользоваться получается, только самому надо придумывать свой ключ на майэтервалет и по нему заходить. Обратите внимание, что Брайнваллет не позволяет задать свой приват кей, что угодно, но только не приват кей - и это наверное неслучайно

Изменено пользователем alevlaslo
Ссылка на комментарий
Поделиться на другие сайты

@alevlaslo причем тут электрум?!  brainwallet это brainwallet, это именно то, что вы пытаетесь делать используя номера телефонов из головы и не слушая других людей, а seed это seed, никакого отношения к brainwallet он не имеет.

Ссылка на комментарий
Поделиться на другие сайты

Электрум выпускает регулярно обновления, могут отклониться от открытого кода и сделать суженый лимит свободных ключей, которые будут знать сами

Ссылка на комментарий
Поделиться на другие сайты

А Брайнвалет посоветовали Вы вообще-то :) Только не учли что создание своего ключа в МЭВ и в Брайнвалет - это абсолютно разные вещи

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, alevlaslo сказал:

Только не учли что создание своего ключа в МЭВ и в Брайнвалет - это абсолютно разные вещи

Да ладно?!   Ну это уже офтопик.  И я вам ничего не советовал, а как раз наоборот не советовал.  Но способ такой существует.

Ссылка на комментарий
Поделиться на другие сайты

Разные потому, что на Брайнвалет надо создавать приватник по желаемому паролю, а в МЭВ ничего создавать не нужно, просто входишь в аккаунт по какому угодно приватнику

Ссылка на комментарий
Поделиться на другие сайты

  • 1 год спустя...

Всем привет! Интересно сравнение по вероятности попадания на денежный адрес в сравнении с джекпотом русского лотто, во сколько раз ниже и ниже ли вообще, там билет за 100 рублей надо покупать, а здесь бесплатно можно генерировать и проверять каждый адрес

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • Santiment: Биткоин нащупал новый уровень поддержки

      Аналитики Santiment заметили на криторынке необычную тенденцию, которая сигнализирует о временной стабилизации стоимости биткоина на грани крупной распродажи.  Эксперты Santiment проанализировали движение биткоинов, которые оставались в бездействии 365 дней или более. 23 марта долгосрочные инвесторы переместили со своих кошельков на биржевые счета 97 737 BTC, остававшихся без движения более года. С учетом рыночных цен, долгосрочные инвесторы ввели в обращение BTC на сумму более $6,4 млрд. 

      в Новости криптовалют

    • Коплю на новый пк

      Я Иван мне 14 лет, коплю на новый пк, так как мой ноутбук ООООООочень слабый,нужен новый пк.Во-первых для учебы, я думаю он мне очень понадобится в 11 классе и в институте, либо колледже.Во-вторых этот "мой" ноутбук как бы не мой, а моих родителей, а так как он не мой я не смогу им пользоваться в дальнейшем.В-третьих моя мечта это получить хороший пк для разных возможностей как потенциально для игр, так и для учебы и в будущем работы.

      в Попрошайки

    • Джеймс Баттерфилл: «Рынок биткоина может ожидать новый всплеск интереса в конце марта»

      Руководитель отдела исследований CoinShares заявил, что биржевые фонды на биткоин могут пережить новый всплеск интереса инвесторов благодаря доступности паев BTC-ETF на рынке инвестиционных консультантов (RIA). Джеймс Баттерфилл (James Butterfill) считает, что клиенты уважают подобных персональных консультантов уважают RIA за ответственность и стремление тщательно взвешивать торговые данные, прежде чем включать какой-либо финансовый инструмент в портфель.   Запуск ETF на биткоины сос

      в Новости криптовалют

    • https://t.me/pixel_wallet_bot новый майнинг в телеграмм

      Добро пожаловать в PIXEL Wallet 💵💵💵   Это ваш шлюз в экосистему Hello Pixel. Зарегистрируйтесь, чтобы изучать криптовалюту и зарабатывать токены PIXEL. 🔥🔥🔥   ▼ Это настоящий кошелек? Да! Регистрация означает создание кошелька на Flare/Songbird, готового для всех сетей EVM.⚡️   ▼ Что такое PIXEL? Ключевой токен в Hello Pixel. Зарегистрируйтесь, чтобы майнить PIXEL, получая дивиденды в биткоинах, Ethereum и USDT. Активное участие вознаграждает вас PIXEL и це

      в Раздачи монет

    • https://t.me/XBlastAppBot - Новый майнинг в сети Blast, похож на майнинг HOT!

      Проект только только запустился. Залетаем и начинаем майнинг.   1) Переходим по ссылке - https://t.me/XBlastAppBot/App?startapp=NJCI2L 2) Подписка на Телеграмм, Твиттер (прокликать) 3) Начать майнинг, следить за клеймом (прокачка на время в разработке)

      в Раздачи монет

×
×
  • Создать...