4月23日,分析機構Independent Security Evaluators釋出的一份報告稱,一名“區塊鏈強盜”通過成功猜測安全性較弱的私鑰,成功竊取了近4.5萬個ETH。
高階安全分析師阿德里安·貝德納裡克(Adrian Bednarek)表示,他意外發現了這名老練的黑客。雖然猜測私鑰在統計學上是不可能的,但這名黑客通過研究發現了732個私鑰,使他能夠像帳戶持有人一樣使用這些私鑰完成交易。
報告指出,這名黑客沒有使用暴力搜尋隨機私鑰,而是使用了查詢錯誤程式碼和錯誤隨機數生成器的組合方式。Bednarek隨後注意到,一些錢包與他們的次優方法找到的私鑰相關聯,它們有大量的交易流向一個地址,但沒有資金回來。Bednarek說:“有個傢伙有個地址,從我們能訪問的一些私鑰上盜取資金。我們找到了735個私鑰,他碰巧從我們能拿到的12個私鑰中拿走了錢。從統計資料上看,他不太可能碰巧猜出那些私鑰,所以他很可能在做同樣的事情……基本上,只要資金一進入人們的錢包,他就開始偷錢。”
在以太坊新高時的,這個強盜的戰利品估計將價值超過5000萬美元。在編寫本報告時,這些資金的價值約為780萬美元。根據Bednarek的說法,由於負責生成私鑰的軟體中的編碼錯誤,私鑰可能很容易受到攻擊。另一種理論是,通過密碼短語獲得私鑰的密碼所有者使用“abc123”等脆弱的詞條,甚至將密碼短語留空,從而生成相同的金鑰。
儘管這個區塊鏈強盜的身份尚不清楚,但Bednarek表示,朝鮮等國家可能是這起盜竊案的幕後黑手。今年3月,聯合國安理會(U.N. Security Council)的一份報告稱,朝鮮通過黑客攻擊積累了6.7億美元的法定貨幣和加密貨幣,以規避懲罰性的經濟制裁。
來源:巴位元