Можно ли взломать биткоин-кошелек?

14 марта

Не так давно некоторому количеству пользователей японской криптобиржи Zaif сказочно повезло: из-за технического сбоя в работе биржи у них неожиданно появилась 20-минутная возможность получить биткоины «бесплатно».

Чем незамедлительно и воспользовались несколько человек. По сообщению национальной японской газеты Asahi Shimbun, компания практически сразу отменила ошибочные транзакции и скорректировала счета пользователей. Однако с одним из семи счастливчиков до сих пор ведутся переговоры о возврате средств.

Было ли это кражей биткоинов?

С юридической точки зрения, – видимо, да. Однако технически получившие «бесплатные» биткоины не взламывали чужие кошельки, а лишь вовремя воспользовались технологической ошибкой.

И в самом деле: как украсть биткоин? Возможно ли это хотя бы в принципе?

И да, и нет.

Получить доступ к чужому биткоин-кошельку можно только одним путём: тем или иным способом выяснить так называемый Privat Key, то есть приватный ключ пользователя.

Других вариантов украсть биткоины попросту нет. Однако биткоины пытаются украсть. Точнее, интересуются, можно ли это сделать и как: на запрос «как взломать биткоин» Яндекс выдаёт больше 25 миллионов страниц. А вот западные пользователи то ли уже убедились, что это невозможно, то ли им это не нужно – в выдаче Google по запросу «How to crack bitcoin» всего 559 тысяч результатов. Напомним, что приватный ключ - это простое число от одного до 1077.

Даже если бы существовала возможность перебирать один триллион приватных ключей в секунду, хакеру понадобилось бы более миллиона возрастов нашей Вселенной, чтобы просчитать все. Не говоря уже о том, что на это не хватило бы вычислительной мощности всех, существующих у пользователей, компьютеров.

Впрочем, эксперт по информационной безопасности Райан Кастелуччи из фирмы White Ops (США) убеждён, что украсть биткоины из кошельков, созданных по технологии "brainwallet", когда кодовая фраза хранится только в памяти пользователя, всё же можно. Brainwallet использует фразу, преобразует её в закрытый ключ, открытый ключ и, наконец, в адрес. Биткоин-адрес записывается в блокчейн как хэш закрытого ключа, созданного на основе пароля. Хэш-пароль для аутентификации на веб-сайте поможет определить слово или фразу, сравнив её с оригиналом. По мнению Райана Кастелуччи, эти данные могут быть использованы хакерами.

Более того, эксперт создал программу Brainflayer, которая, как оказалось, может перебирать пароли с частотой 130 тысяч раз в секунду. Запуск Brainflayer на мощных компьютерах, например, в арендованном облаке, как утверждает Райан Кастелуччи, увеличивает скорость перебора до 560 миллионов фраз в секунду.

По словам Кастелуччи, главная проблема заключается в том, что люди выбирают не настолько надёжные фразы, как им может показаться.

В то же время Кастеллуччи убежден, что подобрать закрытый ключ невозможно. «Обычный закрытый ключ слишком длинный, чтобы его можно было как-то угадать или подобрать», – считает он, – Но если хакеры угадают вашу фразу-пароль, они получат доступ к кошельку, потому что на самом деле из людей выходит довольно скверный генератор случайных чисел».

Справедливости ради, заметим: эксперт продемонстрировал возможности Brainflayer уже несколько лет назад, но до сих пор ни одной успешной кражи средств из биткоин-кошелька так и не зафиксировано. И тем не менее, биткоины воруют. Правда, не простые пользователи, а хакеры.

И, поскольку простой перебор вариантов, как уже было сказано, – дело безнадежное, хакеры идут другим путём.

Злоумышленники атакуют сервисы, использующие биткоины, интернет-магазины и криптовалютные биржи, получая доступ к базе данных транзакций. Время от времени им это удаётся.

До сих пор самой крупной и нераскрытой считается кража, совершённая в 2014 году. Владельцы криптовалютной биржи Mt.Gox признали, что в течение нескольких лет с биржи были украдены 744 408 биткоинов – по тогдашнему курсу 460 миллионов долларов.

По информации Mt.Gox, хакеры использовали некий баг в системе транзакций, который существовал с первого дня работы биржи и переводили небольшие суммы денег на свои счета. Среди интернет-пользователей даже появилась версия, что кражу совершил один из сотрудников биржи.

2 августа 2016 года злоумышленники взломали гонгконгскую биржу Bitfinex, похитив 119 756 биткоинов (72 миллиона долларов). Проблема заключалась в том, что система безопасности Bitfinex имела серьёзную уязвимость. В качестве попечителя биржа использовала компанию BitGo, а ключи от биткоин-кошельков пользователей хранились в трёх местах: на серверах биржи и BitGo, а также в хранилище без доступа в интернет. Хакеры каким-то образом смогли обойти защиту BitGo и получили доступ к тысячам кошельков клиентов. Кроме того, они переписали алгоритмы BitGo и сняли ограничение на сумму выводимых средств.

Другими словами, в обоих описываемых случаях взломать биткоин-кошельки пользователей удалось не из-за недостатков биткоин-системы как таковой, а в связи с наличием проблем с информационной безопасностью конкретных бирж. Нельзя исключить того, что подобные прецеденты будут продолжаться и в дальнейшем. Правда, воспользоваться украденной криптой не так-то просто.

Напомним, как работает блокчейн-система.

Блокчейн – это публичная база всех транзакций, когда-либо совершённых в системе расчётов. Данные объединяются в блоки, которые соединяются в цепочку с помощью математических алгоритмов, а каждый блок связан с предыдущим. Процесс шифрования выполняется огромным количеством компьютеров, работающих в одной сети и, если в результате их расчётов, они получают одинаковый результат, блоку присваивается уникальная цифровая подпись.

При этом реестр записей обновляется у всех пользователей в сети одновременно, а блокчейн-сеть автоматически проверяет сама себя с определённым временным интервалом и согласовывает каждую происходящую транзакцию.

Вернуть потерянные средства невозможно (по крайней мере, пока), но узнать, на чей адрес переведена криптовалюта, не составляет особого труда.

Чтобы «легализовать» украденное, в Deep Web есть сервисы так называемых «миксеров». Биткоины проходят через сеть специальных кошельков (переводы осуществляются при помощи определённых адресов) и в итоге попросту теряются среди реальных платежей.

ДЯ
Яковлев Денис
@yakovlev
Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera