Описание принципа уязвимости "мозговой кошелек"
Когда даже небольшая часть биткоина стоит десятки тысяч рублей, а за целый биткоин можно купить слиток золота, возникает резонный вопрос. Как безопасно хранить свою криптовалюту?
Смартфон - в любой момент могут выхватить из рук. Домашний компьютер - каждый день подвергается множеству вирусных атак. Онлайн кошелёк - приходится доверять свои накопления компании разработчику.
Получается, пока мозг ещё не подключён напрямую к сети интернет, наша память является, пожалуй, самым безопасным местом для хранения биткоинов. Но запомнить 51 случайный символ приватного ключа от своего биткоин кошелька, задача достаточно сложная.
Вот такой например: 5KWeAfgnW3j8wTogqfHbyf8tiwboB1Tvc76GuN2962zDV8sFL8a
Можно поступить иначе. Сначала придумать надёжный пароль, который легко запомнить, а затем сгенерировать на его основе биткоин кошелёк. Ключ в таком случае запоминать не нужно, зато легко можно получить доступ к своим сбережениям. Такой вид биткоин кошельков получил название - мозговой кошелёк.
Слабое звено в биткоин защите? Да.
Один из известных хакеров современности Кевин Митник подметил, что взлом любой, даже сверхсложной, системы наиболее эффективен через её самое слабое место - через человека. Невозможно вытащить пароль из головы, но можно представить, как мыслил человек, создавая свой пароль
Все люди мыслят похожим образом. Все используют для общения ограниченный словарем своего языка словарный запас.
Как все происходило:
На первом этапе я сгенерировал 6 млрд. уникальных паролей и фраз. Материалом послужили словари на английском, китайском и русском языках, онлайн книги, тексты песен, офлайн версия Википедии и лист наиболее употребляемых паролей.
Несколько дней ушло на то чтобы подготовить список всех существующих биткоин адресов с непустым балансом или тех адресов, на которых когда-либо были биткоины. Всего получилось 412 млн. адресов.
Получив хеш адресов биткоина, строим фильтр Блума. Затем преобразуем каждый пароль из нашего словаря в hash160 и отфильтровываем их. На выходе получилось около 240 млн. биткоин адресов кандидатов. Строим пересечение множества кандидатов и списка всех реально существующих адресов.
Достаточно просто. Для этой работы достаточно даже обычного домашнего компьютера.
В результате я подобрал приватные ключи от 56340 биткоин кошельков, затратив на это примерно неделю своего времени. Правда с деньгами оказались всего 7 кошельков с общим депозитом 2.5 BTC.
Немного общей статистики:
C 2011 года со всех мозговых кошельков было выведено 5010 BTC или 30 млн. долларов. Лишь только за неполный 2018 год хакеры похитили 736 BTC. Проанализировав транзакции, я насчитал 19 отдельных групп, занимающихся взломом мозговых кошельков.
Если 7 лет назад на взлом одного кошелька уходило несколько дней, то сейчас хакерам требуется доли секунды. Как только жертва переводит свои биткоины в скомпрометированный кошелёк, они тут же автоматически выводятся на счёт хакеров. Большая конкуренция между хакерами вполне объяснима, люди продолжают использовать одни и те же взломанные кошельки с элементарными паролями. Для хакеров же это является постоянным источником дохода.
Самая крупная кража, которую я обнаружил, произошла в ноябре 2012 года. Хакерам потребовалось всего 36 секунд, чтобы украсть 500 биткоинов с кошелька 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE
Пароль от мозгового кошелька был: bitcoin is awesome
вот этот адрес https://www.blockchain.com/btc/address/14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE
Среди паролей, нередко встречались слова на русском языке:
голос - 0.0017 BTC
зоообъединение - 0.01038281 BTC
Сергей - 0.0095 BTC
На китайском:
试试看 - 0.001 BTC
潇潇雨 - 1.001 BTC
吸烟有害健康 - 0.01 BTC
Большинство взломанных мозговых кошельков, конечно же, с паролями на английском:
correct horse battery staple - 15.94334851 BTC
The Times 03/Jan/2009 Chancellor on brink of second bailout for banks.
god - 0.3083699 BTC
wallet - 30.28128 BTC
Bitcoin - 0.28163155 BTC
allyouneedislove - 0.5 BTC
и еще около 58тыс более простых однословных паролей, с транзакциями на адресах, но уже без баланса, их здесь перечислять нет смысла.
Как не стать жертвой?
Вы наверняка слышали подобные печальные истории, как британский программист безуспешно ищет свои 7500 BTC на свалке, а редактор популярного сайта выкинул жесткий диск с 1400 BTC. Кто-то не может восстановить свои биткоины со старой флешки, а кто-то случайно выкинул клочок бумаги с приватным ключом. В настоящий момент по той или иной причине люди потеряли около 4 млн. биткоинов. На этом фоне ущерб от хакерских атак выглядят, как капля в море.
Однако, чтобы не стать легкой добычей для хакеров, есть несколько простых рекомендаций:
Чтобы безопасно создать свой мозговой кошелек, откройте генератор биткоин адреса в приватном режиме, отключите интернет, создайте свой кошелёк и сохраните полученный адрес, затем закройте браузер и только теперь включайте интернет. Отсутствие интернета не позволит злоумышленникам узнать ваш пароль, а приватный режим помешает сохранить ваши данные и переправить их хакерам сразу после возобновления связи.
При создании пароля для кошелька не используйте известные фразы и высказывания, слова из песен и книг, любые простые слова и словосочетания. Помните, любая информация доступная в интернете вам - доступна и хакерам.
Не используйте свои старые пароли, которые вы когда-либо использовали ранее. У хакеров есть миллиарды паролей от популярных сервисов и социальных сетей. Даже если вас никогда не взламывали, есть большая вероятность, что ваш старый пароль хранится в базе данных хакеров.
Ваш пароль должен быть уникален. Добавьте в пароль "соль" - это значительно усложнит взлом. Это может быть информация о которой знаете только вы, например, номер телефона бабушки, кличку вашей собаки на китайском языке, свой резервный e-mail. В идеале, придумайте собственную систему, как создать сложный пароль для окружающих, но легко запоминающийся для вас.
До начала использования проверьте свой адрес, на нём не должно быть никаких транзакций. Не используйте кошелек, на котором уже были движения средств.
Перед отправкой крупной суммы, пошлите на свой новый адрес небольшую часть средств, если ваш кошелек скомпрометирован, деньги будут списаны мгновенно.
Если вы решили пополнить свой старый кошелёк, сначала проверьте баланс! Многие пользователи продолжают использовать взломанные кошельки еще несколько месяцев или даже лет.
Храните свои биткоины в разных кошельках. Это убережет ваши средства от случайного взлома.
источник https://vc.ru/flood/43597-kto-zarabatyvaet-500-bitkoinov-za-minutu
Как проверить свой пароль на надежность?
Берем любой генратор адресов из строк, например этот : https://brainwalletx.github.io/
Вводим строку-пароль, обратите внимание достаточно даже одного символа, но никаких ограничений по длинне нет.
Слов может быть сколько угодно.
Получаем 2 адреса.
И проверяем их тут https://www.blockchain.com/btc/address/bc1qx4d5tv0vdyvnthy27yz88jvewup8v3nj98w8th
Подставляя в строку адреса полученные адреса.
И помните. Около 226 000 биткоинов до сих пор лежат на забытых и потерянных адресах и ждут того кто их найдет.
Удачи :)