ビットコインユーザーの資金喪失事件
ビットコインユーザーは、コインベースのブロック報酬からの取引識別子をプライベートキーとして使用した侵害されたウォレットに暗号通貨を送信した結果、資金を失いました。ブロック924,982のコインベース取引識別子がウォレットのプライベートキーとして機能し、セキュリティの脆弱性を引き起こし、自動化されたボットの活動を促進したと、暗号通貨専門誌Protosが報告しています。
この事件は、ビットコインのメモリプール、つまり保留中の取引のプールに接続された自動コンピュータプログラムが資金を競い合うことを引き起こしました。
これらのボットは、侵害されたウォレットへの入金を自動的に検出し、競合プログラムの手数料を上回るためにマイナーへの引き出し取引のために置き換え手数料取引を放送します。報告された事例では、0.84 BTCがブロックのコインベース識別子から導出された非ランダムなプライベートキーを持つアドレスに送信され、失われました。
自動化されたシステムの影響
自動化されたシステムは、他のボットとの競争において取引手数料を段階的に増加させるために置き換え手数料メカニズムを使用します。観察者によると、場合によっては、子取引が手数料として取引価値の99.9%まで支払われることがあります。
プライベートキーはビットコイン保有を保護するための最も重要なセキュリティ要素です。プライベートキーが露出したり、一般的なデータパターンから導出されたりすると、盗難が通常即座に発生しますと、暗号通貨セキュリティの専門家は述べています。
非ランダムなプライベートキーのリスク
多くの非ランダムなプライベートキーを持つ侵害されたウォレットは、「password」、「bitcoin」、「abandon」などの繰り返しの単語を含む予測可能なパターンのシードフレーズを利用していますと、セキュリティ研究者は指摘しています。真のエントロピーが欠如した非ランダムなパターンは、プライベートキーを露出させ、対応する公開鍵への入金を自動化されたシステムが排出できるようにします。
この事件は、非ランダム性が単純な単語パターンを超えて、ブロック報酬の取引識別子など、ビットコイン台帳に記録された公開情報を含むことができることを示しています。
プライベートキーを生成する際に機械的エントロピーを導入しないことは、ブルートフォース攻撃を可能にし、資金のセキュリティを脅かす可能性がありますと、暗号学の専門家は述べています。取引識別子を介してプライベートキーをハッシュ化することは、安全なプライベートキーの保存に十分なエントロピーを提供しないことを、この事件は示しています。
監視と盗難のリスク
マイナーや他のメモリプールの観察者は、非ランダム性の取引識別子を監視し、露出したプライベートキーを使用して盗難取引を放送しようとすることができますと、ブロックチェーンセキュリティのアナリストは述べています。
