ผู้ใช้ Bitcoin สูญเสียเงินทุนหลังจากส่งสกุลเงินดิจิทัลไปยังกระเป๋าเงินที่ถูกบุกรุกซึ่งเชื่อมโยงกับตัวระบุรางวัลบล็อก

4 ชั่วโมง ที่ผ่านมา
อ่าน 8 นาที
3 มุมมอง

การสูญเสียเงินทุนของผู้ใช้ Bitcoin

ผู้ใช้ Bitcoin สูญเสียเงินทุนหลังจากส่งสกุลเงินดิจิทัลไปยังกระเป๋าเงินที่ถูกบุกรุก ซึ่งใช้ ตัวระบุการทำธุรกรรมจากรางวัลบล็อก Coinbase เป็นกุญแจส่วนตัว ตัวระบุการทำธุรกรรมของ Coinbase จากบล็อก 924,982 ทำหน้าที่เป็นกุญแจส่วนตัวสำหรับกระเป๋าเงิน ซึ่งสร้างช่องโหว่ด้านความปลอดภัยที่กระตุ้นให้เกิดกิจกรรมของบอทอัตโนมัติตามรายงานของสื่อ Cryptocurrency Protos

กิจกรรมของบอทอัตโนมัติ

เหตุการณ์นี้ทำให้โปรแกรมคอมพิวเตอร์อัตโนมัติที่เชื่อมต่อกับ พูลหน่วยความจำของ Bitcoin หรือ mempool ของธุรกรรมที่รอดำเนินการแข่งขันกันเพื่อแย่งชิงเงินทุน บอทเหล่านี้ตรวจจับการฝากเงินเข้าสู่กระเป๋าเงินที่ถูกบุกรุกโดยอัตโนมัติและออกธุรกรรมแบบแทนที่ด้วยค่าธรรมเนียมเพื่อเสนอราคาที่สูงกว่าค่าธรรมเนียมของโปรแกรมที่แข่งขันกันสำหรับธุรกรรมการถอนเงิน

ในกรณีที่รายงาน มีการส่ง 0.84 BTC และสูญหายไปยังที่อยู่ที่มีคีย์ส่วนตัวที่ไม่สุ่มซึ่งได้มาจากตัวระบุ Coinbase ของบล็อก

ความสำคัญของคีย์ส่วนตัว

ตามข้อมูลจาก Blockchain ระบบอัตโนมัติใช้กลไกแทนที่ด้วยค่าธรรมเนียมเพื่อเพิ่มค่าธรรมเนียมการทำธุรกรรมอย่างค่อยเป็นค่อยไปในการแข่งขันกับบอทอื่น ๆ ในบางกรณี ธุรกรรมลูกจ่ายค่าธรรมเนียมสูงถึง 99.9% ของมูลค่าธุรกรรม

ตามที่ผู้สังเกตการณ์ที่ติดตามกิจกรรมดังกล่าวระบุ คีย์ส่วนตัวเป็นองค์ประกอบด้านความปลอดภัยที่สำคัญที่สุดในการปกป้องการถือครอง Bitcoin เมื่อคีย์ส่วนตัวถูกเปิดเผยหรือได้มาจากรูปแบบข้อมูลทั่วไป การโจรกรรมมักจะเกิดขึ้นทันที

การโจรกรรมจากความไม่สุ่ม

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยของ Cryptocurrency ระบุ กระเป๋าเงินที่ถูกบุกรุกหลายใบที่มีคีย์ส่วนตัวที่ไม่สุ่มใช้วลีเมล็ดพันธุ์ที่มีรูปแบบที่คาดเดาได้ รวมถึงคำที่ซ้ำกัน เช่น “รหัสผ่าน,” “Bitcoin,” หรือ “ละทิ้ง”

ตามที่นักวิจัยด้านความปลอดภัยระบุ รูปแบบที่ไม่สุ่มใด ๆ ที่ขาดเอนโทรปีที่แท้จริงสามารถเปิดเผยคีย์ส่วนตัวและทำให้ระบบอัตโนมัติสามารถดึงเงินฝากไปยังคีย์สาธารณะที่เกี่ยวข้องได้

บทสรุป

เหตุการณ์นี้แสดงให้เห็นว่าความไม่สุ่มสามารถขยายไปไกลกว่ารูปแบบคำง่าย ๆ เพื่อรวมข้อมูลสาธารณะที่บันทึกไว้ในบัญชีแยกประเภท Bitcoin เช่น ตัวระบุการทำธุรกรรมของรางวัลบล็อก ความล้มเหลวในการแนะนำเอนโทรปีเชิงกลเมื่อสร้างคีย์ส่วนตัวสามารถทำให้เกิดการโจมตีแบบ brute-force และทำให้ความปลอดภัยของเงินทุนถูกบุกรุก

ตามที่ผู้เชี่ยวชาญด้านการเข้ารหัสระบุ การแฮชคีย์ส่วนตัวผ่านตัวระบุการทำธุรกรรมไม่ให้เอนโทรปีที่เพียงพอสำหรับการจัดเก็บคีย์ส่วนตัวอย่างปลอดภัย

เหตุการณ์นี้แสดงให้เห็นว่านักขุดและผู้สังเกตการณ์ mempool อื่น ๆ สามารถติดตามตัวระบุการทำธุรกรรมเพื่อหาความไม่สุ่มและพยายามออกธุรกรรมการโจรกรรมโดยใช้คีย์ส่วนตัวที่ถูกเปิดเผย ตามที่นักวิเคราะห์ด้านความปลอดภัยของ Blockchain ระบุ

ป้ายกำกับ

ที่เกี่ยวข้อง

ล่าสุดจาก Blog