Welcome to my personal place for love, peace and happiness❣️

Later Ctrl + ↑

Как хакеры ломают кошельки: шесть главных уязвимостей

Оригинал статьи тут: https://forklog.com/exclusive/kak-hakery-lomayut-koshelki-shest-glavnyh-uyazvimostej

Приватный ключ в большинстве блокчейнов представляет собой строку из 256 бит: на подбор такого пароля к конкретному адресу уйдут миллионы лет работы современных компьютеров.

Однако криптокошельки все же уязвимы к хакерским атакам — из-за багов в приложениях и ошибок пользователей. Рассказываем о шести способах взлома и объясняем, как обезопасить средства от кражи.

  1. Weak Address — уязвимые ключи

Из-за бага в генераторе случайных чисел (ГСЧ) кошелек может создать приватный ключ лишь с несколькими случайными байтами. В идеале приложение работает так:

Генерирует случайное число заданной длины.
Преобразует его в короткий формат ключа соответствующего блокчейна.
Генерирует публичный адрес из ключа.
В этом случае число fffffffffffffffffffffffffffffffebaaedce6af48a03bbfd25e8cd0364110 преобразуется в ключ 5Km2kuu7vtFDPpxywn4u3NLpbr5jKpTB3jsuDU2KYEqeoQJAair, который управляет адресом 1CaZUpjd7VmsyWDFrk9WG9nTYMLcLLvvCw.

Но иногда ГСЧ допускает ошибку и генерирует строку с большим количеством нулей вроде 0000000000000000000000000000000000000000ffa3cafff0000000000000000 вместо действительно случайного числа. Хакеры называют такие кошельки Weak Addresses.

Злоумышленники создают ботов. Их алгоритмы регулярно проверяют балансы слабых адресов в сетях биткоина и Ethereum. Если пользователь генерирует такой адрес и отправляет на него криптовалюту, бот сразу же ее ворует.

Как защититься: после создания кошелька проверьте, действительно ли символы в нем случайны. Используйте инструменты с открытым исходным кодом вроде Swippcore для конвертации ключа короткого формата в длинный на локальной машине.

  1. Random Vulnerability — извлечение приватных ключей из транзакций

Биткоины существуют в виде UTXO — неиспользованных выходов. При отправке средств кошелек собирает их на нужную сумму и подписывает транзакцию комбинацией приватного ключа и случайного числа — nonce.

Из-за бага ГСЧ приложение может подписать разные операции одинаковыми nonce. Если злоумышленники сопоставят и дешифруют подписи таких транзакций, то смогут извлечь приватные ключи.

Этот метод называется Random Vulnerability. С его помощью хакеры взломали более двух тысяч кошельков на сумму 484 BTC.

Согласно исследованию компании Kudelski Security, уязвимость также встречается в кошельках Ethereum и EVM-совместимых сетей.

Как защититься: вовремя обновлять приложения кошельков, в том числе Bitcoin Core и его аналоги для других блокчейнов.

  1. Weak Brainwallet — генерация ключей из неслучайных данных

Brainwallet — способ создания приватного ключа на базе пользовательской фразы вместо случайного числа. Ее легко можно запомнить, а значит буквально «хранить в голове».

Зачастую пользователи генерируют ключи из единичных слов, очевидных комбинаций вроде 12341234, телефонных номеров или цитат из фильмов. Хакеры пользуются человеческой предсказуемостью: они создают ключи из популярных или утекших паролей, а затем выводят криптовалюты с соответствующих кошельков. Таким образом с 2009 года злоумышленники взломали более 19 000 биткоин-кошельков и украли как минимум 4000 BTC.

Как хакеры ломают кошельки: шесть главных уязвимостей
Примеры взломанных кошельков, владельцы которых сгенерировали ключи из распространенных фраз. Данные: Privatekeys.
Как защититься: не использовать Brainwallet, в крайнем случае — придумать действительно сложный пароль из строчных и заглавных букв, цифр и спецсимволов.

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Итоги недели

Итоги недели + главные новости по будням

  1. Фишинг — пользователь сам отдает ключ

С технической точки зрения самый простой способ получить доступ к кошельку — убедить владельца отправить вам ключ. Для этого злоумышленники представляются сотрудниками службы поддержки бирж и кошельков, известными личностями или специалистами по безопасности.

Например, в феврале 2023 года хакеры отправляли пользователям Trezor фейковые письма от лица компании, в которых сообщали о взломе программного обеспечения кошельков и просили передать сид-фразу для «проверки».

Кроме того, злоумышленники используют инструменты ончейн-аналитики атак на кошельки биткоин-китов — известных личностей, менеджеров блокчейн-проектов и криптоинфлюэнсеров. Они пишут персонализированные письма и связываются с жертвами по личным каналам коммуникаций.

Как защититься: ни в коем случае не отправлять приватный ключ или сид-фразу кому бы то ни было.

  1. Ключи в публичном доступе — мониторинг GitHub

Разработчики блокчейн-приложений и смарт-контрактов иногда используют личные кошельки для проверки работоспособности кода. Они могут случайно оставить ключи в файлах при публикации проектов на хостинговых сервисах.

Хакеры отслеживают обновления и загрузки репозиториев на GitHub, Pastebin и других популярных платформах для хранения текстовых заметок. Они проверяют строки, которые начинаются с «5» (биткоин-ключи в формате WIF), содержат слова из словаря сид-фраз или совпадают с длиной закрытого ключа.

Как защититься: не хранить пароли на компьютере в незашифрованных файлах, не использовать личный кошелек в рабочих целях.

  1. Скам-сайты — генерация скомпрометированных ключей

С 2019 года хакеры используют генераторы онлайн-кошельков в качестве инструмента взлома. Такие сервисы могут выдавать одни и те же ключи разным пользователям или содержать уязвимости для их перехвата.

Так, в июле 2023 года пользователь r/jdmcnair заявил о краже $3000 в биткоине из бумажного кошелька, который он сгенерировал в онлайн-сервисе.

Как защититься: не пользоваться веб-сайтами — создавать адреса только в аппаратных устройствах или приложениях кошельков.

Как создать безопасный кошелек

Приватные ключи безопаснее большинства паролей, но и они могут стать уязвимыми из-за ошибок в приложениях и человеческого фактора.

Чтобы избежать взлома, следуйте инструкции по созданию безопасного биткоин-кошелька:

Не используйте сайты для генерации адресов — только аппаратные кошельки и приложения.
Не создавайте ключи из фраз и паролей, которые можете запомнить: они уязвимее комбинаций, созданных ГСЧ.
После генерации кошелька проверьте, действительно ли символы в нем случайны. Если более половины символов ключа — нули, он уязвим для брутфорса.
Кроме того, важно не использовать личные криптовалютные адреса для разработки Web3-приложений регулярно обновлять кошелек.

Помните: приватные ключи нельзя отправлять третьим лицам, что бы они ни говорили.

 No comments   2023   Science

Фотограф Ugur Gallenkus

Турецкий фотограф Угур Галленкус изображает два разных мира на одном изображении. Блестящая работа 👏

DANIEL MARTIN: One and Three NFTs

Идея, лежащая в основе One and Three NFTs, касается нашего понимания истинной природы и ценности искусства NFT. Я представлю три версии одного и того же физического оформления, что и NFTs – неподвижное изображение, видео и 3D-модель. У коллекционера будет возможность оценить и определить ценность каждой версии, тем самым решив, какую из них он считает настоящим произведением искусства.

Эта концепция основана на произведении искусства, созданном Джозефом Кошутом еще в 1965 году под названием “Один и три стула”. Кошут продемонстрировал три варианта стула – настоящий стул, фотографию стула и письменное описание стула. Затем он попросил зрителя определить, какое изображение, по его мнению, является наиболее точным изображением стула.

В мире цифрового искусства, распространяемого в виде NFT, мы сталкиваемся с новыми и похожими вопросами, касающимися истинной сути произведения искусства. В сфере традиционного визуального искусства художественное произведение обычно определяется как физический объект. Однако появление NFT размыло эту грань, открыв множество новых форм искусства и сред, доступных благодаря покупке цифрового токена. Например, если художник рисует картину, фотографирует ее и впоследствии продает цифровое изображение, какой компонент работы является собственно произведением искусства – фотография, оригинальная картина или и то, и другое вместе? Тот же вопрос применим к 3D-художникам, которые создают модель, а затем анимируют ее – является ли 3D-модель настоящим произведением искусства или результирующей анимацией?

Выпуск One and Three NFTs включает в себя процесс торгов, который позволяет коллекционерам оценить стоимость каждого из предлагаемых экспонатов. Это, в свою очередь, заставляет их задуматься над тем, что они считают произведением искусства. Должны ли они рассматривать эти фрагменты как отдельные сущности или как части большего целого? Существует ли истинное художественное произведение в неподвижном изображении, анимации или 3D-модели? С другой стороны, сливаются ли они в единое произведение искусства благодаря лежащей в их основе концепции? Возможно, один коллекционер решит приобрести их все, объединив в единое целое, но все же с возможностью позже продать их по отдельности.

Коллекционеры преодолевают границы и вырабатывают новые определения. Истинная суть произведения искусства остается неуловимой, и вполне возможно, что консенсус может никогда не быть достигнут. И все же, разве не в этом вся прелесть? Решение в конечном счете остается за каждым человеком, предоставляя ему свободу определять свою собственную интерпретацию.

https://www.danielmartin.nl/one-and-three-nfts

https://superrare.com/danielmartin

Новый проект в мире NFT Sound.xyz

Недавно появился новый музыкальный проект на блокчейне. Ребята делают NFT треки, где авторы могут зарабатывать со своих произведений. Зарегался 👍, выбираю себе в коллекцию песенки 🎵

Присоединяйтесь: https://www.sound.xyz/

 No comments   2023   blockchain   Music   NFT
 No comments   2023   Bike
 No comments   2023  
Earlier Ctrl + ↓