圖片來源:unsplash
4月23日,分析機構Independent Security Evaluators發布的一份報告稱,一名「區塊鏈強盜」透過成功猜測安全性較弱的私鑰,成功竊取了近4.5萬個ETH。
高級安全分析師Adrian Bednarek表示,他意外發現了這名老練的駭客。雖然猜測私鑰在統計學上是不可能的,但這名駭客透過研究,發現了732個私鑰,使他能夠像帳戶持有人一樣使用這些私鑰完成交易。
報告指出,這名駭客沒有使用暴力搜尋隨機私鑰,而是使用了查找錯誤代碼和錯誤隨機數生成器的組合方式。
Bednarek隨後注意到,一些錢包與他們的次優方法找到的私鑰相關聯,它們有大量的交易流向一個地址,但沒有資金回來。
Bednarek說:「有個傢伙有個地址,從我們能訪問的一些私鑰上盜取資金。我們找到了735個私鑰,他碰巧從我們能拿到的12個私鑰中拿走了錢。從統計數據上看,他不太可能碰巧猜出那些私鑰,所以他很可能在做同樣的事情……基本上,只要資金一進入人們的錢包,他就開始偷錢。」
在以太坊新高時的,這個強盜的戰利品估計將價值超過5000萬美元。在編寫本報告時,這些資金的價值約為780萬美元。
根據Bednarek的說法,由於負責生成私鑰的軟體中的編碼錯誤,私鑰可能很容易受到攻擊。另一種理論是,透過密碼短語獲得私鑰的密碼所有者使用「abc123」等脆弱的詞條,甚至將密碼短語留空,從而生成相同的密鑰。
儘管這個區塊鏈強盜的身份尚不清楚,但Bednarek表示,北韓等國家可能是這起盜竊案的幕後黑手。今年3月,聯合國安理會(U.N. Security Council)的一份報告稱,北韓透過駭客攻擊累積了6.7億美元的法定貨幣和加密貨幣,以規避懲罰性的經濟制裁。
本文為巴比特資訊授權刊登,原文標題為「這個黑客不一般!靠猜測私鑰,竟成功竊取了4.5萬個ETH」