Успешно угадав слабо защищенные приватные ключи в блокчейне Ethereum, неизвестный злоумышленник похитил порядка 45 000 ETH. Об этом пишет Wired со ссылкой на исследование, проведенное компанией по кибербезопасности Independent Security Evaluators (ISE). Как заявил Адриан Беднарек, старший аналитик по безопасности ISE, хакера, которому было дано прозвище «Блокчейн-бандит», удалось обнаружить совершенно случайно. Предположив, что комбинация символов приватного ключа должна быть статистически невероятной, Беднарек при помощи собственного метода сумел раскрыть 732 ключа. В отчете ISE отмечается, что вместо метода случайного подбора символов, аналитики использовали комбинацию поиска неисправного кода и генераторов случайных чисел. В процессе было замечено, что с некоторых кошельков, связанных с раскрытыми приватными ключами, совершались транзакции на крупные суммы. Все они отправлялись на один и тот же адрес, и как заключил Бернадек , некий хакер пользовался теми же комбинированными методами. Для подтверждения своей теории специалисты ISE отправили сумму в $1 в ETH на один из этих 12 кошельков. Несмотря на то, что активность адреса в последний раз наблюдалась в июле прошлого года, отправленные монеты были моментально переведены на кошелек хакера. По примерным оценкам, «улов» хакера составляет около 45000 ETH. По словам Беднарека, приватные ключи могли быть уязвимы из-за ошибок кодирования в программном обеспечении, ответственном за их генерацию. Другая теория заключается в том, что владельцы криптовалют, которые получают закрытые ключи через seed-фразы, генерируют идентичные или слишком слабые пароли, а порой и просто пренебрегают их созданием. Несмотря на то, что личность злоумышленника установить пока не удалось, Беднарек предполагает, что за кражами могут скрываться спонсируемые государством деятели из Северной Кореи. Согласно последнему отчету Совета Безопасности США, находящаяся под жесткими международными санкциями Северная Корея уже аккумулировало около $670 млн в криптовалютах и в фиате за счет одних только хакерских атак.
А при чем тут пароли? Хакер приватные ключи подобрал? Если есть приватный ключ, то никакие пароли ненужны или я что-то не так поняла? "seed-фразы" это зло? Отказываться от кошельков их использующих?
а как вы от них откажетесь? )) никак. Их не выдают только кошельки, которые оставляют приватные ключи у себя - нафиг вам такой? тут вопрос в генерации, и то предположительно. Забыл термин, но можно погуглить подробности )) про пароль я тоже не понял, к чему он там. Может перевели криво.
