Твитнуть
В большинстве случаев приватный ключ от криптовалютного кошелька – это комбинация из 256 бит. Чтобы подобрать пароль такой длины, понадобится несколько миллионов лет. Несмотря на это кошельки весьма подвержены атакам хакеров. Разберем шесть самых популярных методов взлома и выясним, как защитить свои криптоактивы.
1. Уязвимые ключи
Генерация ключа проходит по такой схеме:
• Генерируется число определенной длины.
• Затем оно преобразуется в короткий формат ключа для конкретного блокчейна.
• Из этого ключа генерируется публичный адрес.
В генераторах ключей иногда случаются баги, из-за которых закрытый ключ может содержать лишь несколько случайных знаков. В результате вместо разных символов в ключе может оказаться просто много нулей или других знаков (например, 0000000000000000000000000000000000000000ffa3cafff0000000000000000). Кошельки с такими адресами и называются уязвимыми – Weak Addresses.
Для нахождения самых привлекательных кошельков, мошенники пишут ботов, которые следят за балансами уязвимых BTC и ETH адресов. При создании такого адреса и переводе на него валюты, бот моментально ее крадет.
Чтобы ваш кошелек не был уязвимым, после его создания нужно проверить, чтобы в ключе не осталось одинаковых символов. Для конвертирования короткого ключа в длинный лучше пользоваться инструментами с открытым исходным кодом (например, Swippcore).
2. Извлечение приватного ключа при совершении операций
Биткоины могут храниться на кошельках в виде UTXO – неиспользованных выходов. Во время отправки средств они собираются в нужной сумме и кошелек подписывает операцию при помощи закрытого ключа и случайного значения (nonce).
В некоторых случаях, в основном после ошибки, приложение может подписывать разные операции одинаковыми значениями. При сопоставлении и дешифровке этих подписей, мошенники могут украсть приватные ключи. Данный метод (Random Vulnerability) позволил хакерам похитить более 480 BTC с более чем 2000 кошельков.
Уязвимость такого вида встречается и в других блокчейнах (в Ethereum и EVM-совместимых блокчейнах). Защититься от нее можно путем своевременного обновления кошельков.
3. Неправильная генерация ключей
Эту уязвимость хакеры называют Brainwallet. Ее суть в том, что закрытый ключ создается на основе пользовательской фразы. Она легко запоминается, давая быстрый доступ к средствам. Однако этот способ в корне неверен, поскольку комбинации получаются слишком простыми.
Пользователи чаще всего создают ключи из обычных слов или простых комбинаций (например, 12341234), телефонов или фраз из кино и сериалов. Хакеры активно это используют, генерируя ключи из популярных или похищенных паролей, после чего выводят криптовалюту с чужих кошельков. C 2009 года преступникам удалось взломать таким способом больше 19000 адресов и украсть порядка 4000 BTC.
Уберечься от кражи можно не используя простые, односложные фразы, либо придумав по-настоящему сложный пароль из разных символов.
4. Фишинговые атаки
Один из наиболее эффективных способов получить в свое распоряжение чужие средства – убедить человека отправить свой ключ самостоятельно. Мошенники делают это, представляясь службой поддержки биржи и кошелька, либо специалистами по безопасности. К примеру, несколько месяцев назад пользователям Trezor активно рассылались фейковые письма от имени компании, где “сотрудники” просили передать сид-фразу на “проверку”. Причиной сбора таких данных назывался взлом программного обеспечения.
Помимо этого, мошенники пользуются специальными инструментами для аналитики и атак на счета известных личностей, руководителей блокчейн-проектов, энтузиастов и т. д. В некоторых случаях они пишут им адресные письма и личные сообщения.
Защититься от фишинговых атак просто: никогда и никому не отправляйте свой приватный ключ.
5. Ключи в открытом доступе
Некоторые разработчики проверяют работоспособность своих приложений и смарт-контрактов с помощью личных кошельков. Иногда они случайно оставляют ключи в файлах при публикации проектов.
Мошенники постоянно следят за обновлениями и загрузками файлов на таких ресурсах, как GitHub, Pastebin и других подобных платформах. Чаще всего проверяются строки, начинающиеся с “5” (биткоин-ключи в формате WIF).
Чтобы уберечься от такого метода кражи данных, следует хранить пароли на ПК только в зашифрованном виде и не пользоваться личными кошельками для работы.
6. Скам-генераторы ключей
Несколько лет назад злоумышленники начали пользоваться онлайн-генераторами для взлома криптовалютных адресов. Специально созданные сервисы такого типа выдают разным пользователям одни и те же ключи. При этом в них содержатся уязвимости, по которым ключ можно перехватить.
Защититься от этого можно, создавая адреса и ключи исключительно в аппаратных или программных кошельках.
Правила создания и безопасного использования кошелька
Закрытые ключи имеют высокий уровень безопасности, однако человеческий фактор и ошибки в ПО могут привести к появлению уязвимостей. При создании кошелька следует руководствоваться следующими правилами:
• Для генерации адресов и ключей следует использовать только аппаратные и программные кошельки, но не онлайн-сервисы.
• Ключи нельзя делать из слов, фраз или комбинаций, которые легко запомнить.
• После генерации ключей нужно проверить, действительно ли символы в них случайны. Если больше половины символов ключа состоит из нулей, то он уязвим для обычного перебора.
• Следует регулярно обновлять свой кошелек и не пользоваться личными адресами для выполнения рабочих процедур.
• Приватные ключи ни в коем случае нельзя передавать третьим лицам, кем бы они не представлялись.
1. Уязвимые ключи
Генерация ключа проходит по такой схеме:
• Генерируется число определенной длины.
• Затем оно преобразуется в короткий формат ключа для конкретного блокчейна.
• Из этого ключа генерируется публичный адрес.
В генераторах ключей иногда случаются баги, из-за которых закрытый ключ может содержать лишь несколько случайных знаков. В результате вместо разных символов в ключе может оказаться просто много нулей или других знаков (например, 0000000000000000000000000000000000000000ffa3cafff0000000000000000). Кошельки с такими адресами и называются уязвимыми – Weak Addresses.
Для нахождения самых привлекательных кошельков, мошенники пишут ботов, которые следят за балансами уязвимых BTC и ETH адресов. При создании такого адреса и переводе на него валюты, бот моментально ее крадет.
Чтобы ваш кошелек не был уязвимым, после его создания нужно проверить, чтобы в ключе не осталось одинаковых символов. Для конвертирования короткого ключа в длинный лучше пользоваться инструментами с открытым исходным кодом (например, Swippcore).
2. Извлечение приватного ключа при совершении операций
Биткоины могут храниться на кошельках в виде UTXO – неиспользованных выходов. Во время отправки средств они собираются в нужной сумме и кошелек подписывает операцию при помощи закрытого ключа и случайного значения (nonce).
В некоторых случаях, в основном после ошибки, приложение может подписывать разные операции одинаковыми значениями. При сопоставлении и дешифровке этих подписей, мошенники могут украсть приватные ключи. Данный метод (Random Vulnerability) позволил хакерам похитить более 480 BTC с более чем 2000 кошельков.
Уязвимость такого вида встречается и в других блокчейнах (в Ethereum и EVM-совместимых блокчейнах). Защититься от нее можно путем своевременного обновления кошельков.
3. Неправильная генерация ключей
Эту уязвимость хакеры называют Brainwallet. Ее суть в том, что закрытый ключ создается на основе пользовательской фразы. Она легко запоминается, давая быстрый доступ к средствам. Однако этот способ в корне неверен, поскольку комбинации получаются слишком простыми.
Пользователи чаще всего создают ключи из обычных слов или простых комбинаций (например, 12341234), телефонов или фраз из кино и сериалов. Хакеры активно это используют, генерируя ключи из популярных или похищенных паролей, после чего выводят криптовалюту с чужих кошельков. C 2009 года преступникам удалось взломать таким способом больше 19000 адресов и украсть порядка 4000 BTC.
Уберечься от кражи можно не используя простые, односложные фразы, либо придумав по-настоящему сложный пароль из разных символов.
4. Фишинговые атаки
Один из наиболее эффективных способов получить в свое распоряжение чужие средства – убедить человека отправить свой ключ самостоятельно. Мошенники делают это, представляясь службой поддержки биржи и кошелька, либо специалистами по безопасности. К примеру, несколько месяцев назад пользователям Trezor активно рассылались фейковые письма от имени компании, где “сотрудники” просили передать сид-фразу на “проверку”. Причиной сбора таких данных назывался взлом программного обеспечения.
Помимо этого, мошенники пользуются специальными инструментами для аналитики и атак на счета известных личностей, руководителей блокчейн-проектов, энтузиастов и т. д. В некоторых случаях они пишут им адресные письма и личные сообщения.
Защититься от фишинговых атак просто: никогда и никому не отправляйте свой приватный ключ.
5. Ключи в открытом доступе
Некоторые разработчики проверяют работоспособность своих приложений и смарт-контрактов с помощью личных кошельков. Иногда они случайно оставляют ключи в файлах при публикации проектов.
Мошенники постоянно следят за обновлениями и загрузками файлов на таких ресурсах, как GitHub, Pastebin и других подобных платформах. Чаще всего проверяются строки, начинающиеся с “5” (биткоин-ключи в формате WIF).
Чтобы уберечься от такого метода кражи данных, следует хранить пароли на ПК только в зашифрованном виде и не пользоваться личными кошельками для работы.
6. Скам-генераторы ключей
Несколько лет назад злоумышленники начали пользоваться онлайн-генераторами для взлома криптовалютных адресов. Специально созданные сервисы такого типа выдают разным пользователям одни и те же ключи. При этом в них содержатся уязвимости, по которым ключ можно перехватить.
Защититься от этого можно, создавая адреса и ключи исключительно в аппаратных или программных кошельках.
Правила создания и безопасного использования кошелька
Закрытые ключи имеют высокий уровень безопасности, однако человеческий фактор и ошибки в ПО могут привести к появлению уязвимостей. При создании кошелька следует руководствоваться следующими правилами:
• Для генерации адресов и ключей следует использовать только аппаратные и программные кошельки, но не онлайн-сервисы.
• Ключи нельзя делать из слов, фраз или комбинаций, которые легко запомнить.
• После генерации ключей нужно проверить, действительно ли символы в них случайны. Если больше половины символов ключа состоит из нулей, то он уязвим для обычного перебора.
• Следует регулярно обновлять свой кошелек и не пользоваться личными адресами для выполнения рабочих процедур.
• Приватные ключи ни в коем случае нельзя передавать третьим лицам, кем бы они не представлялись.