Czy hasło do portfela Bitcoina jest naprawdę bezpieczne ?

Entuzjasta Bitcoinów łamie znaną 12-wyrazową frazę seed w ciągu kilku minut

Kto pozna lub odgadnie słowa 12-wyrazowej frazy początkowej hasła portfela do BTC, może łatwo wejść do portfela i zgarnąć fundusze.

System zabezpieczeń niedoskonały ?

Architekt systemów złamał frazę seed i wygrał nagrodę w wysokości 100 000 Satoshi, czyli 0,001 Bitcoina o wartości 29 USD, w niecałe pół godziny. Cointelegraph rozmawiał z Andrew Fraserem w Bostonie, który podkreślił, jak ważne jest, aby fraza seed portfela Bitcoin była bezpieczna i znajdowała się offline.

Czym jest seed ?

Fraza początkowa lub fraza odzyskiwania to ciąg losowych słów generowanych podczas tworzenia portfela, który powoduje dostęp do portfela, podobnie jak klucz główny. Fraser wymusił udostępnienie 12-wyrazowej frazy, na Twitterze:

Jak pokazano, Tweet Wicked rzucił użytkownikom wyzwanie polegające na nagrodzie za odszyfrowanie prawidłowej kolejności 12-wyrazowej frazy początkowej.

Przeczytaj także: No to jak było naprawdę z FTX ?

Chalange na kolejność wyrazów z seed

„Ktoś chce spróbować zmierzyć się z tą 12-wyrazową frazą wyjściową, która zapewni 100 000 sat? Podam ci wszystkie 12 słów, ale w przypadkowej kolejności. Standardowa ścieżka derywacji m/84’/0’/0’…bez fantazyjnych sztuczek. GL.”

Odblokowanie 100 000 satoshi o wartości nieco poniżej 30 USD zajęło zaledwie 25 minut. Ta nib y zabawa ma służyć jako upomnienie użytkowników Bitcoina i entuzjastów kryptowalut, aby poważnie potraktowali bezpieczeństwo swoich portfeli.

Fraser złamał kod

Fraser złamał kod za pomocą BTCrecover, aplikacji dostępnej na GitHub. Oprogramowanie oferuje szereg narzędzi, które mogą określać frazy źródłowe z brakującymi lub zaszyfrowanymi mnemonikami oraz narzędzia do łamania haseł. Podczas DM na Twitterze Fraser powiedział:

„Mój GPU do gier był w stanie określić prawidłową kolejność frazy źródłowej w około 25 minut. Chociaż bardziej wydajny system zrobiłby to znacznie szybciej”.

Zauważył, że każdy, kto ma podstawową wiedzę na temat uruchamiania skryptów w Pythonie, korzystania z powłoki poleceń systemu Windows i zrozumienia protokołu Bitcoin – w szczególności mnemoników BIP39 – powinien być w stanie powtórzyć jego sukces.

Frasera został zapytany o bezpieczeństwo 12-wyrazowych kluczy źródłowych. Wyjaśnił, że są one „całkowicie bezpieczne, jeśli słowa pozostają nieznane atakującemu lub w ścieżce derywacji portfela używane jest hasło„ 13. słowo początkowe ”.

Ponadto podkreślił wyższe bezpieczeństwo 24-wyrazowych kluczy źródłowych.

„Nawet gdyby atakujący znał nieprawidłowe słowa w 24-wyrazowym kluczu źródłowym, nigdy nie odkryje właściwych”.

Różnice w hasłach

Fraser podzielił obliczenia entropii, aby wyjaśnić różnicę w bezpieczeństwie między dwoma typami kluczy początkowych. Hasło składające się z 12 słów ma około 128 bitów entropii, podczas gdy hasło zawierające 24 słowa ma 256 bitów. Kiedy atakujący zna nieuporządkowane słowa z 12-słowowego materiału wstępnego, istnieje tylko około pół miliarda możliwych kombinacji. Co jest stosunkowo łatwe do przetestowania przy użyciu przyzwoitego procesora graficznego. Hasło składające się z 24 słów ma jednak w przybliżeniu 6,24^24 możliwych kombinacji — a to dużo zer.

https://twitter.com/btc2037/status/1651418739169021952?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1651419053012004865%7Ctwgr%5Ecba7723ade163a8a905797e25b517b067883192c%7Ctwcon%5Es2_&ref_url=https%3A%2F%2Fcointelegraph.com%2Fnews%2Fbank-of-korea-given-right-to-investigate-local-crypto-firms-report

Prawdopodobieństwo, że atakujący złamie 12-wyrazową frazę źródłową, jest na granicy absurdu. 24-wyrazowa fraza początkowa może być lepsza, ale jak Wicked wskazuje w omówieniu challenge frazy początkowej, „to nie będzie zhakowane”.

Seed nie powinien być przechowywany w manedżerze haseł

Ostatecznie jest to przypomnienie dla czytelników, aby upewnić się, że frazy źródłowe nigdy nie zostaną opublikowane ani udostępnione online. Oznacza to, że frazy początkowe nie powinny być przechowywane w menedżerze haseł ani rozwiązaniu do przechowywania w chmurze. A już na pewno nie powinny być wpisywane na telefonie.

Fraser podkreślił również, jak ważne jest utrzymywanie kluczy początkowych w tajemnicy i wykorzystywanie hasła, które działa jako część ścieżki wyprowadzania. Co do 100 000 sat, które Fraser zabrał do domu? Fraser napisał na Twitterze, że tego wieczoru wydał je na kolację: kurczak marsala.

Może Cię zainteresuje:

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Zostaw komentarz

Twój adres e-mail nie będzie opublikowany.