Systémový architekt za necelou půlhodinu prolomil seed a získal odměnu 100 000 Satoshi, tedy 0,001 Bitcoinu (BTC), v hodnotě 29 USD.Andrew Fraser z Bostonu tím chtěl poukázat na to, jak důležité je udržet seed BTC peněženky v bezpečí a offline.
Seed je řetězec náhodných 12 nebo 24 slov vygenerovaný při vytváření peněženky, který umožňuje přístup k peněžence. Fraser prolomil 12-slovný seed, který na Twitteru sdílel účet Wicked Bitcoin.
Anyone want to try and brute force this 12-word seed phrase securing 100,000 sats? I’ll give you all 12 words but in no particular order. Standard derivation path m/84'/0'/0'…no fancy tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Wicked (@w_s_bitcoin) April 26, 2023
Jak je uvedeno, tweet společnosti Wicked vyzýval uživatele, aby rozluštili správné pořadí 12 slov seed fráze.
Netrvalo to ani půl hodiny
Odemknutí 100 000 Satoshi v hodnotě necelých 30 dolarů trvalo jen 25 minut. Incident slouží jako včasná připomínka pro uživatele a nadšence kryptomen, aby brali bezpečnost kryptomen vážně.
Fraser prolomil kód pomocí softwarové aplikace BTCrecover, která je k dispozici na GitHube. Software nabízí celou řadu nástrojů, které dokáží určit seed fráze s chybějícími nebo zakódovanými mnemotechnikami a nástroji pro prolomení přístupové fráze.
„Můj herní GPU dokázal určit správné pořadí seed fráze přibližně za 25 minut. Přestože výkonnější systém by to zvládl mnohem rychleji,“ řekl Fraser.
Poznamenal, že každý, kdo má základní znalosti o spouštění Python skriptů, používání příkazového řádku na Windowse a porozumění protokolu BTC – zejména mnemotechniky BIP39– by měl být schopen zopakovat jeho úspěch.
24-slovný seed je lepší
Fraser také zdůraznil vyšší bezpečnost klíčů s 24 slovy.
„I kdyby útočník znal neuspořádaná slova vašeho 24-slovního seedu, nikdy by neměl šanci odhalit správný seed,“řekl.
Fraser rozebral výpočty entropie, aby vysvětlil rozdíl v bezpečnosti mezi těmito dvěma typy seedů. 12-slovný seed má přibližně 128 bitů entropie, zatímco 24-slovný seed má 256 bitů. Když útočník zná neuspořádaná slova 12-slovného seedu, existuje jen přibližně půl miliardy možných kombinací, které lze poměrně snadno otestovat pomocí slušného GPU. 24-slovný seed má však přibližně 6,24 na 24 možných kombinací.
V konečném důsledku jde o upozornění pro uživatele, aby seed nikdy nezveřejňovali nebo nesdíleli online. To znamená, že seedy by se neměly ukládat do správce hesel nebo cloudového úložiště a určitě by se neměly vypisovat do telefonu.
Zdroj: cointelegraph.com