Incidenten med Bitcoin-plånboken
En Bitcoin-användare förlorade medel efter att ha skickat kryptovaluta till en komprometterad plånbok som använde en transaktionsidentifierare från en Coinbase-blockbelöning som sin privata nyckel. Transaktionsidentifieraren från block 924,982 fungerade som den privata nyckeln för plånboken, vilket skapade en safety risk som utlöste automatiserad botaktivitet, enligt kryptovalutatidskriften Protos.
Automatiserade botar och mempool
Incidenten fick automatiserade dataprogram kopplade till Bitcoins minnespool, eller mempool, av utestående transaktioner att tävla om medlen. Dessa botar upptäcker automatiskt insättningar i komprometterade plånböcker och sänder ut replace-by-fee-transaktioner för att överträffa avgifterna från konkurrerande program till gruvarbetare för uttagstransaktioner.
I det rapporterade fallet skickades 0,84 BTC och förlorades till en adress med en icke-slumptalsmässig privat nyckel härledd från en blocks coinbase-identifierare, enligt blockchain-data. De automatiserade systemen använder replace-by-fee-mekanismer för att successivt öka transaktionsavgifterna i konkurrens med andra botar. I vissa fall betalar barntransaktioner upp till 99,9 % av transaktionsvärdet i avgifter, enligt observatörer som övervakar sådan aktivitet.
Säkerhetsrisker med privata nycklar
Privata nycklar representerar det mest kritiska säkerhetselementet för att skydda bitcoininnehav. När en privat nyckel exponeras eller härleds från vanliga datamönster inträffar stöld vanligtvis omedelbart, enligt experter på kryptovalutasäkerhet. Många komprometterade plånböcker med icke-slumptalsmässiga privata nycklar använder fröfraser med förutsägbara mönster, inklusive upprepade ord som ”lösenord”, ”bitcoin” eller ”överge”, enligt säkerhetsforskare.
Alla icke-slumptalsmässiga mönster som saknar verklig entropi kan exponera en privat nyckel och möjliggöra automatiserade system att tömma insättningar till den motsvarande offentliga nyckeln. Incidenten visar att icke-slumptalsmässighet kan sträcka sig bortom enkla ordmönster för att inkludera offentlig information som registrerats på Bitcoin-boken, såsom transaktionsidentifierare för blockbelöningar.
Brister i nyckelgenerering
Underlåtenhet att införa mekanisk entropi vid generering av privata nycklar kan möjliggöra brute-force-attacker och kompromettera medelsäkerheten, enligt kryptografiexperter. Hashing av en privat nyckel via en transaktionsidentifierare ger inte tillräcklig entropi för säker lagring av privata nycklar, vilket illustrerar incidenten.
Gruvarbetare och andra mempool-observatörer kan övervaka transaktionsidentifierare för icke-slumptalsmässighet och försöka sända stöldtransaktioner med hjälp av exponerade privata nycklar, enligt blockchain-säkerhetsanalytiker.
