Кто такой «блокчейн-бандит» и как он грабит киберкошельки

Зато точно известно, что на 13 января 2018 года баланс его кошелька составлял около 38 тысяч эфиров (ETH) или 54 миллиона долларов США.

Впервые о хакере, которому дали кличку «блокчейн-бандит», стало известно в конце апреля прошлого года после публикации отчета консалтинговой компании Independent Security Evaluators, которая специализируется на вопросах кибербезопасности. Злоумышленник сумел украсть почти 45 тысяч ETH, используя ряд программных уязвимостей и ошибок самих пользователей. Такая сумма была на счету «блокчейн-бандита» весной прошлого года, что на тот момент составляло около 7,8 миллионов долларов США.

Каждая криптовалюта использует для авторизации пару ключей — открытый и закрытый. Из открытого ключа получается адрес, на который можно перечислять криптовалюту. Его можно публиковать свободно, не опасаясь кражи. А вот закрытый (секретный) ключ нельзя сообщать никому. Он нужен для подтверждения любых действий, в том числе перевода. Если злоумышленник его узнает, то сможет спокойно выводить из кошелька деньги. А если это произошло, вернуть деньги не удастся — такова особенность криптовалют.

Стоит уточнить, что в статье речь идет исключительно о «горячих» криптокошельках. Они традиционно считаются уязвимыми к атакам и не подходят для долгосрочного хранения активов. Максимальную безопасность могут гарантировать «холодные» крипокошельки, например, аппаратного типа (Ledger, Trezor и т.д.).

Ольга Федорова, руководитель разработки в Альфа-Банк

Ethereum — это популярная платформа для создания децентрализованных онлайн-сервисов на базе блокчейна, работающих на базе умных контрактов. При этом она является открытой платформой, и авторы предлагают использовать эфир не только для платежей, но и для обмена ресурсами или регистрации сделок в «умных контрактах». В 2017 году была создана некоммерческая ассоциация Enterprise Ethereum Alliance, куда в том же году вступил Сбербанк, первым среди российских банков. Сейчас в EEA состоит несколько сотен компаний и организаций.

Эфириум использует ключ длиной 256 бит. Подобрать его практически невозможно: не хватит современных вычислительных мощностей. По мнению специалистов, Blockchain Bandit использовал другие методы. В ряде случаев ошибки в программном обеспечении усекали закрытый ключ до очень короткой длины, подобрать которые гораздо проще. Иногда пользователям давали право выбирать собственные ключи, а они по незнанию использовали простые ключи. Где-то «поработали» трояны или вирусы. Закрытый ключ всегда дополнительно защищается паролем, который придумывает пользователь, но не все относились к этой операции со всей ответственностью.

Один из специалистов подумал: «а что если кто-то использует простой ключ, состоящий из нулей и единицы в конце?» Так и оказалось. Потом были найдены другие простые ключи: где-то с помощью перебора, где-то с помощью сканирования. Специалисты Independent Security Evaluators (ISE) обнаружили 732 уязвимых закрытых ключа, которые подписали 49 060 транзакций на общую сумму 32 ETH. По их мнению, это только вершина айсберга. Все текущие балансы по этим ключам были равны нулю. Зато так удалось обнаружить «блокчейн-бандита», проверив некоторые исходящие переводы.

Ради интереса специалисты провели эксперимент. Отправили доллар на адрес, связанный с одним из слабых закрытых ключей. Деньги украли мгновенно. Потом доллар положили на новый аккаунт, где вместо закрытого ключа использовали цифру «10». Снова кража. Вот только деньги украл уже другой «бандит». «Блокчейн-бандит» тоже пытался, но опоздал на несколько миллисекунд. Т.е. злоумышленники имеют огромный список из скомпрометированных ключей. И как только на связанных с ними счетах появляются деньги, они тут же переводят их на свои кошельки.

Предполагается, что Blockchain Bandit прибегал и к другим возможностям для кражи. Некоторые люди используют так называемые «мозговые кошельки», где вместо криптографических ключей применяются пароли, придуманные пользователями. Взломать их несколько проще.

Можно ли защититься от краж из криптовалютных кошельков? Можно, если придерживаться не только стандартных компьютерных норм безопасности, но и прибегать к дополнительным.

Статью проверила Ольга Федорова, руководитель разработки в Альфа-Банк

Профиль Ольги в LinkedIn

 

Что будем искать? Например,ChatGPT

Мы в социальных сетях