Анонимный пользователь обнаружил уязвимость Биткойн кошельков

Анонимный пользователь Pastebin утверждает, что обнаружил доказательства того, что программное обеспечение одного Биткойн-кошелька может генерировать секретные ключи, которые можно легко идентифицировать и взломать.

Сообщение было опубликовано после того, как другой пользователь Reddit создал пост, в котором описал, как он потерял девять BTC из-за ошибки транзакции в службе кошелька Blockchain.info.

Пользователь Pastebin, однако, не указал конкретного кошелька, программное обеспечение которого может быть взломано, и является ли уязвимость программного обеспечения преднамеренной или просто ошибкой кодирования.

По словам анонимного пользователя, несколько клиентов платформы Blockchain.info уже знают об этой уязвимости и «играли» с блокчейном, отправляя небольшие количества биткойнов на адреса, соответствующие закрытым ключам, которые были созданы вредоносным программным обеспечением.

«Если вы посмотрите информацию в Blockchain, вы обнаружите, что люди «манипулировали» системой, отправляя небольшое количество биткойнов на адреса, соответствующие закрытым ключам, сгенерированным с использованием Sha256 … Очевидно, что этим ажресам суждено было быть взломанными. Оказывается, их много. (Продолжайте искать, и вы легко найдете их.) В этом нет ничего нового и было известно биткойн сообществу ранее».

Как пользователь обнаружил вредоносное ПО

По словам пользователя Pastebin, он использовал несколько фрагментов общедоступных данных о Blockchain, чтобы определить, могли ли они использоваться для создания кошельков. Он использовал блок-хеши для каждого блока, начиная с первого, извлек общие слова и фразы, которые были хэшированы несколько раз, и в конечном итоге начал тестировать все адреса биткойнов.

Он также загрузил полный индекс всех адресов Bitcoin, которые были публично опубликованы в Blockchain и начал искать ключи, которые могут иметь несколько бит, связанных с ними. В своих экспериментах он обнаружил более 40 биткойнов, которые были использованы в некоторых точках за последние семь лет по состоянию на ноябрь 2017 года для отправки транзакций.

Пользователь Pastebin также подозревал, что некоторые сторонние сервисы по хранению кошельков, такие как сайты азартных игр, майнинг пулы или прямые веб-кошельки, могут иметь вредоносный код в своем бэкэнде, который может генерировать закрытые ключи на основе общедоступных адресов.

По состоянию на время публикации пользователь Blockchain.info подтвердил, что средства были возвращены:

«Девять BTC были возвращены, человек нашел мой пост на Reddit и связался со мной сегодня утром. Он хочет остаться анонимным, однако он нашел проблему с Blockchain.info и в настоящее время работает с ними для ее устранения».