Η αμερικανική εταιρεία Independent Security Evaluators (ISE) δημοσίευσε μια έκθεση σχετικά με τα ιδιωτικά κλειδιά για το Ethereum blockchain. Ένας hacker κατάφερε να μαντέψει σωστά πολλά αδύναμα ιδιωτικά κλειδιά, με αποτέλεσμα να κλέψει 45.000 ether (ETH).
Το Cointelegraph επικοινώνησε με τον Adrian Bednarek, ανώτερο αναλυτή ασφαλείας στην ISE, για να μάθει περισσότερες πληροφορίες γι’ αυτή την υπόθεση.
Ο Bednarek ανέφερε στη συνέντευξή του, ότι ανακάλυψε τυχαία τη δραστηριότητα του hacker. Εκείνη την περίοδο ασχολούνταν με μια άλλη έρευνα.
“Η δημιουργία ενός ιδιωτικού κλειδιού ήταν ένα από τα συστατικά που έπρεπε να ερευνήσουμε. Προσπαθούσα να καταλάβω τα βασικά στοιχεία του ιδιωτικού κλειδιού στο Ethereum: Πόσο μεγάλο είναι; Πώς δημιουργείται; Και πώς χρησιμοποιείται για την εξαγωγή του δημόσιου κλειδιού και της δημόσιας διεύθυνσης”.
Όλα τα μεγάλα blockchain (π.χ. Ethereum, bitcoin) που υποστηρίζουν το πρωτόκολλο ECDSA (Elliptic Digital Signature Algorithm), έχουν ιδιωτικά κλειδιά των 256-bit. Η πρόβλεψη ενός τόσο μεγάλου κλειδιού είναι εξαιρετικά δύσκολη. Γι’ αυτό το λόγο, οι ερευνητές στην ISE τα χώρισαν σε οκτώ “υπο-περιοχές” των 32-bit.
Αυτά τα 8 μέρη περιείχαν συνολικά 34 δισεκατομμύρια αδύναμα κλειδιά, τα οποία σαρώθηκαν από τους ερευνητές. Αυτή η διαδικασία κράτησε μια ολόκληρη ημέρα.
Αυτά τα αδύναμα κλειδιά δημιουργήθηκαν εξαιτίας ενός ελαττωματικού κώδικα.
Το ιδιωτικό κλειδί λειτουργεί ταυτόχρονα ως όνομα χρήστη και ως κωδικός πρόσβασης. Δεν είναι ξεχωριστά. Οπότε, αν δυο άνθρωποι χρησιμοποιήσουν τον ίδιο κωδικό πρόσβασης για τη δημιουργία ενός Brainwallet (δηλαδή ενός πορτοφολιού που περιέχει φράσεις πρόσβασης για τη δημιουργία ιδιωτικών κλειδιών), τότε και οι δυο θα έχουν ακριβώς το ίδιο πορτοφόλι. Κατά κάποιο τρόπο είναι σαν να έχουν δυο άνθρωποι τον ίδιο τραπεζικό λογαριασμό.
Οι ερευνητές βρήκαν 732 αδύναμα ιδιωτικά κλειδιά, τα οποία συνδέονταν με 49.060 συναλλαγές.
Ο Bednarek λέει ότι στο Ethereum blockchain υπάρχουν περίπου 50 εκατομμύρια κλειδιά. Η ομάδα του κατάφερε να ανακαλύψει μόνο 732.
Οι ερευνητές παρατηρούσαν πώς συνδέονται τα πορτοφόλια με τα ιδιωτικά κλειδιά και πρόσεξαν ότι γίνονταν πολλές συναλλαγές προς μια συγκεκριμένη διεύθυνση, αλλά ποτέ δεν επιστρέφονταν χρήματα από αυτή τη διεύθυνση.
Ο hacker έπαιρνε χρήματα από 12 από τα κλειδιά, στα οποία είχε πρόσβαση η ερευνητική ομάδα. Προφανώς ο hacker έκανε την ίδια διαδικασία με τους ερευνητές, γιατί η πρόβλεψη των κλειδιών είναι στατιστικά αδύνατη. Έτσι, έκλεβε τα κεφάλαια των χρηστών, μόλις έμπαιναν στα πορτοφόλια τους.
Ο ερευνητής διαπίστωσε ότι ο hacker είχε δημιουργήσει έναν κόμβο, ώστε τα χρήματα από διευθύνσεις με αδύναμα κλειδιά, να μεταφέρονται αυτόματα στη διεύθυνσή του. Για να σιγουρευτούν οι ερευνητές ότι όντως συμβαίνει κάτι τέτοιο, χρησιμοποίησαν ένα honeypot. Χρησιμοποίησαν ένα αδύναμο κλειδί και έστειλαν ένα δολάριο. Οι ερευνητές ήξεραν ότι ο hacker γνωρίζει αυτό το κλειδί. Στην ουσία ήθελαν να δουν πόση ώρα θα έπαιρνε, μέχρι να μεταφερθούν τα χρήματα στη διεύθυνσή του. Χρειάστηκαν μόνο μερικά δευτερόλεπτα, το οποίο σημαίνει ότι η διαδικασία γίνεται αυτόματα. Μόλις μπαίνουν χρήματα σε μια διεύθυνση, που ο hacker γνωρίζει ότι προστατεύεται από αδύναμο κλειδί, στέλνει αμέσως αίτημα μεταφοράς των χρημάτων.
Σύμφωνα με τα στοιχεία, ο hacker διαθέτει περίπου 45.000 ETH, που αντιστοιχούν σε 7.3 εκατομμύρια δολάρια.
Ο συγκεκριμένος hacker κλέβει χρήματα αρκετά χρόνια τώρα. Πολλοί έχουν παραπονεθεί και έχουν καταγγείλει περιστατικά κλοπής, που φαίνεται να σχετίζονται μαζί του.
Ο ερευνητής παραδέχεται ότι οι τεχνικές του δράστη είναι πάντα επιτυχημένες.
“Αυτός ο τύπος έχει υιοθετήσει μια προσέγγιση πολλαπλών επιπέδων για την κλοπή χρημάτων”.
Ο hacker ψάχνει με μεγάλη προσοχή να βρει τα πορτοφόλια που έχουν αδύναμα ιδιωτικά κλειδιά ή RPCs που δεν είναι σωστά ρυθμισμένα. Έτσι, μπορεί να εκμεταλλευτεί αυτά τα στοιχεία και να κλέψει τα χρήματα από το πορτοφόλι του θύματος.
Τέτοιου είδους κλοπές δεν γίνονται μόνο στο blockchain του Ethereum. Το πρόβλημα που αντιμετώπισαν οι ερευνητές, είναι ότι ήθελαν να ενημερώσουν τους κατόχους των διευθύνσεων, ώστε να είναι πιο προσεκτικοί. Ωστόσο, αυτό δεν είναι εφικτό, γιατί δεν είναι εύκολο να βρεις την ταυτότητα του κατόχου.
Έτσι, ο Bednarek ήλθε σε επαφή με την IFS για νομικές συμβουλές. Εκείνοι του απάντησαν: “Αν βρείτε κάτι, αφήστε το εκεί. Μην κάνετε καμία μεταφορά. Με αυτόν τον τρόπο δεν θα βάλετε τον εαυτό σας σε μπελάδες».
Ο Bednarek λέει ότι υπάρχουν δύο βασικοί λόγοι που τα ιδιωτικά κλειδιά είναι ευάλωτα. Ο πρώτος λόγος είναι η ύπαρξη σφαλμάτων στο λογισμικό που τα δημιουργεί. Ο δεύτερος λόγος είναι ότι πολλοί χρήστες χρησιμοποιούν εύκολες και προβλέψιμες φράσεις για τα κλειδιά τους.
Ο Bednarek συμβουλεύει τους χρήστες να χρησιμοποιούν γνωστά και αξιόπιστα πορτοφόλια ή να προτιμήσουν hardware και paper wallets, ειδικά στην περίπτωση που έχουν μεγάλα ποσά cryptocurrency. Το hardware wallet εξασφαλίζει ότι το κλειδί δεν θα αποκαλυφθεί, ενώ το paper wallet επιτρέπει την ύπαρξη ενός τυχαίου κωδικού, που αποθηκεύεται σε χαρτί, ώστε να μην έχει καμία σχέση με τον υπολογιστή και άρα να μην κινδυνεύει από επιθέσεις.
Ωστόσο, και τα πιο γνωστά λογισμικά δεν είναι απόλυτα ασφαλή. Για παράδειγμα το lota wallet είχε παραβιαστεί από έναν προγραμματιστή, ο οποίος συνελήφθη, αφού κατηγορήθηκε για την κλοπή 10 εκατομμυρίων δολαρίων.
Η εταιρεία ISE θα συνεχίσει να παρακολουθεί τα blockchains και τα αδύναμα ιδιωτικά κλειδιά. Ο Bednarek δήλωσε ότι σχεδιάζουν να χρησιμοποιήσουν GPUs, που θα τους επιτρέπουν τη σάρωση 38 δισεκατομμυρίων κλειδιών μέσα σε λίγα δευτερόλεπτα.
Με την πιο αποτελεσματική σάρωση, θα μπορέσουν να επεκταθούν σε περισσότερους τομείς.
Τέλος, οι ερευνητές σχεδιάζουν να δημοσιεύσουν κάποιες πληροφορίες, που θα βοηθήσουν τους χρήστες cryptocurrency να είναι ενήμεροι για πιθανές επιθέσεις και να κάνουν τη δική τους έρευνα. Ίσως η συνεργασία χρηστών και ειδικών να είναι πιο αποτελεσματική για την αντιμετώπιση της κατάστασης.
