Vorfall mit kompromittierter Wallet
Ein Bitcoin-Nutzer hat Gelder verloren, nachdem er Kryptowährung an eine kompromittierte Wallet gesendet hatte, die einen Transaktionsidentifikator aus einer Coinbase-Blockbelohnung als privaten Schlüssel verwendete. Der Transaktionsidentifikator der Coinbase aus Block 924.982 diente als privater Schlüssel für die Wallet und schuf eine Sicherheitsanfälligkeit, die automatisierte Bot-Aktivitäten auslöste, wie die Kryptowährungs-Publikation Protos berichtet.
Automatisierte Bot-Aktivitäten
Der Vorfall führte dazu, dass automatisierte Computerprogramme, die mit dem Bitcoin-Memory-Pool (Mempool) aus ausstehenden Transaktionen verbunden sind, um die Gelder konkurrierten. Diese Bots erkennen automatisch Einzahlungen in kompromittierte Wallets und senden Replace-by-Fee-Transaktionen, um die Gebühren konkurrierender Programme für Abhebungs-Transaktionen zu überbieten. In dem gemeldeten Fall wurden 0,84 BTC an eine Adresse gesendet und verloren, die einen nicht-zufälligen privaten Schlüssel verwendete, der aus dem Coinbase-Identifikator eines Blocks abgeleitet wurde, wie die Blockchain-Daten zeigen.
Mechanismen der Transaktionsgebühren
Die automatisierten Systeme nutzen Replace-by-Fee-Mechanismen, um die Transaktionsgebühren schrittweise im Wettbewerb mit anderen Bots zu erhöhen. In einigen Fällen zahlen Kindtransaktionen bis zu 99,9 % des Transaktionswerts in Gebühren, berichten Beobachter, die solche Aktivitäten überwachen. Private Schlüssel stellen das kritischste Sicherheitselement zum Schutz von Bitcoin-Beständen dar. Wenn ein privater Schlüssel offengelegt oder aus gemeinsamen Datenmustern abgeleitet wird, erfolgt der Diebstahl typischerweise sofort, so Kryptowährungssicherheitsexperten.
Vorhersehbare Muster und Sicherheitsrisiken
Viele kompromittierte Wallets mit nicht-zufälligen privaten Schlüsseln verwenden Seed-Phrasen mit vorhersehbaren Mustern, einschließlich wiederholter Wörter wie „Passwort“, „Bitcoin“ oder „verlassen“, berichten Sicherheitsforscher. Jedes nicht-zufällige Muster, das echte Entropie vermissen lässt, kann einen privaten Schlüssel offenbaren und automatisierten Systemen ermöglichen, Einzahlungen an den entsprechenden öffentlichen Schlüssel abzuziehen.
Schlussfolgerungen und Empfehlungen
Der Vorfall zeigt, dass Nicht-Zufälligkeit über einfache Wortmuster hinausgehen kann und öffentliche Informationen umfasst, die im Bitcoin-Ledger aufgezeichnet sind, wie Transaktionsidentifikatoren von Blockbelohnungen. Das Versäumnis, mechanische Entropie bei der Generierung privater Schlüssel einzuführen, kann Brute-Force-Angriffe ermöglichen und die Sicherheit der Gelder gefährden, so Krypto-Experten. Das Hashen eines privaten Schlüssels über einen Transaktionsidentifikator bietet nicht genügend Entropie für eine sichere Speicherung privater Schlüssel, wie der Vorfall zeigt. Miner und andere Mempool-Beobachter können Transaktionsidentifikatoren auf Nicht-Zufälligkeit überwachen und versuchen, Diebstahls-Transaktionen mit offengelegten privaten Schlüsseln zu senden, so Blockchain-Sicherheitsexperten.
