Как взломать Биткоин-кошелек: программы и софт для взлома

Белый хакер создал инструмент для взлома Биткоин кошельков с Brainwallet

“Белый хакер” создал новый инструмент, показывающий, что можно с легкостью украсть биткоины из кошельков, созданных по технологии “brainwallet”, где кодовая фраза хранится только в памяти пользователя. Первоначально задуманный как способ сохранения конфиденциальных данных в автономном режиме, brainwallet использует один длинный пароль или фразу, преобразует его в закрытый ключ, открытый ключ и наконец в адрес.

Простое запоминание сложной фразы позволяет любому пользователю держать миллионы долларов цифровой наличности фактически в собственной голове, без необходимости хранить какие-либо записи на компьютере.

Однако, оказывается, что ум является удивительно уязвимым местом, и не составляет особого труда подобрать ключ к вашим крипто-активам.

Исследователь в сфере информационной безопасности Райан Кастелуччи из фирмы White Ops указал на наличие серьезной уязвимости в этом методе. Он подчеркивает, что конечный адрес Биткоин записывается в блокчейне как хэш закрытого ключа, созданного на основе пароля. При использовании для аутентификации на веб-сайте, хэш пароля поможет определить слово или фразу, сравнив её с оригиналом. Это означает, что данные могут быть использованы взломщиками, которые ищут пароль.

7 августа на DEF CON 23, одной из крупнейших в мире ежегодных конференций хакеров, программа-взломщик brainwallet, названная Кастелуччи Brainflayer, оказалась способна перебирать пароли с частотой 130 000 раз в секунду. Запуск на более мощных компьютерах, например в арендованном облаке, который обойдётся в $1, может быть использован для перебора 560 миллионов фраз в секунду.
При этом, система применима и для ASCII паролей, построенных на символах клавиатуры США, и XKCD паролей. Кастеллуччи заявил, что его бот может проверить каждый адрес Биткоин, который когда-либо получал средства, в течение одного дня.

В интервью Кастеллуччи стремился подчеркнуть, что хотя созданный им инструмент может быть использован преступниками, он надеется, что его исследования будут стимулировать пользователей Bitcoin к поиску лучших методов безопасности для защиты своих сбережений.

Вы можете кричать с крыш, что кто-то слаб и уязвим, но многие люди просто будут всё отрицать без наличия работающего доказательства концепции. Я думаю, что концепция, которая позволяет людям выбирать свои собственные пароли и фразы для высокопроизводительных приложений, является в корне ошибочным подходом к безопасности.

В этом случае, презентация Кастелуччи не прошла незамеченной. После ее выхода веб-сайт BrainWallet.org, который генерирует личные ключи для пользователей и использует JavaScript, перешел в автономный режим. Хотя другие услуги остаются доступными, закрытие было очень высоко оценено членами сообщества Bitcoin.

Начало проекта

Развитие проекта началось в середине 2013 года, когда первые пользователи Биткоина начали испытывать проблемы с безопасностью brainwallet. Примерно в то же время один из пользователей Reddit, известный как btcrobinhood (BTC Робин Гуд), начал воровать монеты из brainwallets, возвращая их потом законным владельцам в целях разоблачения уязвимости технологии.

Вдохновленный этим примером, Кастеллуччи создал оригинальную программу-взломщик Brainflayer, которая могла выдавать 10 000 паролей, предугадывая все возможные варианты.

Когда он вернулся к своему компьютеру, на котором была запущена программа, он нашел 250 ВТС, уже извлеченных из чужого кошелька благодаря уязвимостям в технологии Brainwallet.

Кастеллуччи был поставлен в трудную ситуацию. У него было два варианта – взять несколько BTC как оплату за свои исследования, и предупредить пользователей бумажников, что их безопасность под угрозой, или попытаться связаться с ними с помощью других средств. В конце концов, ему удалось связаться с владельцем и убедить его переместить биткоины в более безопасный кошелек.

Когда проблема не исчезла, ​​он решил вернуться к исследованиям, утверждая, что это его обязанность – раскрыть уязвимость, чтобы пользователи могли принять соответствующие меры и повысить свой уровень защищенности.

Будущее технологии

Также он предложил тем, кто использует brainwallet, рассмотреть улучшенную реализацию данной идеи – WarpWallet.

Кастелуччи говорит, что в уравнение WarpWallets интегрирована «соль» – случайные данные, используемые для входа при хэшировании функции. Это означает, что если «солью» пользователя был его адрес электронной почты, потенциальному вору нужно знать не только пароль, но и адрес.

Тем не менее, Кастеллуччи советует тем, кто использует кошельки на brainwallet, применять наборы случайных чисел и символов. А еще лучше использовать diceware – процесс, посредством которого пароли создаются с помощью пары генераторов случайных чисел.

Кастелуччи не сказал точно, сколько ключевых фраз Brainflayer способен угадывать на одном компьютере. Но он намекает, что если его программа будет запущена в ботнете, то цифра может приближаться к ста миллиардам ключевых фраз в секунду. Более того, он говорит, что программа PassPhrase оптимизирована для задачи быстрой генерации ключей Bitcoin и сканирования блокчейна.

Для наиболее эффективного сканирования и проверки блокчейна он использовал метод, известный как фильтр Bloom. Его результат пока не достигает триллиона ключевых фраз в секунду, о чем ранее предупреждал Сноуден, подразумевая достижения АНБ. Тем не менее, это может удивить многих людей, которые считают, что их ключевые фразы являются безопасными.

Бюро находок

Когда его спросили, как он планирует продолжить свою работу, Кастеллуччи сказал, что он все еще в процессе планирования следующих исследований. Он работает над добавлением новых инструментов в brainwallet, как и в Brainflayer. В том числе это режим, который будет сканировать “плохие” приватные ключи.

Как я пытался взломать Bitcoin

Считается, что некоторые функции, в обратную сторону не работают. Википедия в статье оперирует таким понятием, как «вычислительная невозможность». В одном из каментов приводили как пример функцию

Кто-то может скажет, что эта функция в обратную сторону нерешаема. Я считаю, что это функция очень даже решаема, просто в обратную сторону она выдает бесконечное множество пар (A,B), если нам известно «В», то решением будет бесконечное множество возможных чисел «А». Не совсем то, что нам хотелось бы, но ведь мы и не думали, что попали в сказку? Это чем-то похоже на вырывание одного уравнения из системы уравнений — каждое уравнение в системе дает множество, но в системе пересечение этих множеств дает небольшое количество решений. Поэтому, точно так же, как мы не решаем отдельно каждое уравнение в системе уравнений, нет смысла рассматривать такие функции в отрыве от других функций, из который состоит криптоалгоритм. Поэтому на элементарные операции криптоалгоритма нельзя смотреть по отдельности, а если на них смотреть как на систему уравнений, то теоретически ее можно решить. И получается, что по аналогии можно посчитать sha256 в обратную сторону, достаточно только перенести ту же идею работы со списками на побитовые операции. Но начнем мы, конечно, не с sha-256, а с тривиальных примеров.

Пусть у нас есть битовые переменные a, b, c. Пусть так же мы знаем, что в результате взятия a&b мы получили 0, а бит «c» не участвовал в формуле. Попытаемся «проиграть» эту формулу в обратную сторону. Мы знаем, что операция И дает нам в итоге ноль, если хотя бы один из операндов поступающих на ее вход равен нулю. Таким образом, возможные значения abc, как они видятся операнду «а» можно представить списком из одного регэспа 0**. Где звездочка означает 0 или 1. Возможные значения переменных abc, как они видятся операнду «b» можно представить списком из регэкспа *0*. Список нам нужен потому, что в больших выражениях одного регэкспа нам мало. Под регэкспом я понимаю не традиционное регулярное выражение, а урезанный его вариант, в котором звездочка означает любое значение соответствующего бита.

Когда мы берем логическое «И» над приходящими на входы списками, нам надо скомбинировать каждый входящий регэксп на правый вход с каждым входящим на левый. В данной задаче нам просто — входит только по одному регэкспу, вот их и комбинируем. Для «И», если на выходе надо получить 0 — левый список просто дополняем правым. Схематически я это показал на картинке в виде графа:

Пояснение. Результат f подается снизу, на выход, и поднимается в противоположную стрелкам сторону — вверх, раздваиваясь на узлах, до тех пор, пока не приходит в конечную переменную. Конечная переменная формирует список возможных значений переменных (тот который видится с позиции этой переменной), необходимых для достижения пришедшего результата. Для переменной «а» это 0**, для переменной «b» это *0*. Фактически, это все звездочки, но только одна из них, в позиции переменной, заменена на пришедшее f. Далее этот список спускается вниз по стрелкам, комбинируясь в узлах с другими такими же списками. Переменную «с» я добавил специально, чтобы показать, что неучаствующие в выражении переменные не мешают нам, а спускаются вниз в исходном виде. На выходе мы получили список, состоящий из двух регэкспов. Каждый регэксп определяет набор возможных значений, которые при желании мы легко можем сгенерировать из этого регэкспа. Это и есть ответ.

Разумеется, если в списке много элементов, мы должны как-то объединять непротиворечащие регэкспы и исключать дубликаты, этот момент важный, но — оптимизационный, и потому сейчас несущественен для понимания идеи. Про него будет ниже.

Теперь то же самое, но только для f=1. Получаем а=1**, b=*1*. Правило объединения, если для «И» нам на выходе надо получить 1 — сложнее. Мы должны объединить с правой и левой части непротиворечивые регэкспы, построив при этом список новых регэкспов. У меня получились следующие итоговые правила:

Регэкспы просматриваются побитово. В зависимости от значений бита справа и слева, выбираем наиболее конкретное значение, или отбрасываем данную пару регэкспов, если встретили биты, которые противоречат друг другу.

Обработав входы по этому правилу, получим:

Думаю, идея ясна. Для «ИЛИ» и «НЕ» можно построить аналогичные правила:

Тут еще показано, что для лог «НЕ» мы оперируем не со списками регэкспов, а с самой f, инвертируя ее. Списки регэкспов через «НЕ» проходят без изменений и без инверсий.

Таким образом, для sha256 мы можем построить граф, разбить наш message digest на биты, подать эти биты на выходы и нам вернется список возможных значений переменных прообраза.

Читайте также:  Биткоин-миллионеры – кто и как заработал на Биткоине состояние

Оптимизация

Целей максимально оптимизировать алгоритм не ставилось. Понятно, что работать с битами через символы — расточительно, и можно сильно повысить скорость алгоритма, если переложить его на си и ассемблер с побитовыми операциями. Однако, есть еще один путь оптимизации — минимизация размеров списков, которыми мы оперируем. При объединении списков часто возникают дубликаты и непротиворечащие регекспы, которые надо откидывать. Кроме того, иногда, два регэкспа могут быть объединены в один новый, который в свою очередь можно подвергнуть дальнейшей оптимизации. Например, 000100 и 001100 можно объединить в 00*100, правило такого объединения относительно легко выводится — допустимо только изменение одного бита, важно только чтобы вновь созданный регэксп не представлял никаких лишних значений переменных. Поэтому *0 нельзя объединить с 0*, получив при этом **, потому что ** представляет 11, чего не допускал ни первый ни второй регэксп.
Кроме этого, в узлах списки мы будем кэшировать — считаем их однократно для каждого f которое пришло снизу.

Эксперимент

Я сделал следующие предположения
— исходное сообщение короче 56 байт (для биткоина можно было бы считать что это так, на самом деле от этого упрощения отказаться не сложно);
— нам известно все исходное сообщение, кроме первых 8 бит.

Конечно, это не фонтан, я понимаю, что 8 неизвестных бит — это достаточно мало, чтобы подобрать их прямым перебором, но целью эксперимента была именно проверка способа. У меня получилось этим способом найти букву T, зная sha-256 от фразы «The quick brown fox jumps over the lazy dog», и зная все буквы этой фразы, кроме самой буквы T. Программа должна сработать и для больших неизвестных, просто будет работать дольше, и потребует больше памяти. По этой причине, невозможно считать все буквы неизвестными — не хватит вычислительных ресурсов, а значит практического применения нет. Вычисление буквы T занимает 82сек на 3ггц Phenom. Конечно, прямой перебор всех неизвестных бит (256 значений) занял бы доли секунды, так что в этом смысле тоже практической пользы от программы нет.

Как мне кажется, есть возможный путь оптимизации, который заключается в придумывании компактной записи множеств, но все равно способ будет работать не быстрей прямого перебора.

Как взламывают биткойн-кошелек и как с этим бороться

Взлом ваших устройств

Надежные Блокчейн кошельки состоят из двух ключей:

  1. Открытый ключ: похож на номер банковского счета, которым вы делитесь для получения средств
  2. Закрытый (Приватный) ключ: вид кода безопасности, используемого для снятия средств

Если ваш приватный ключ украден, это равносильно потере вашей кредитной или дебетовой карты с PIN-кодом, написанным на обороте. Не нужно объяснять, что будет с вашей учетной записью дальше.

Хранение ваших приватных ключей, хранящихся в Интернете, скажем, в файле на вашем компьютере, на самом деле не является разумной идеей.

Если хакеры получают доступ к вашему компьютеру, они могут легко найти файл и использовать его.

По этой причине эксперты по безопасности всегда предлагают сохранить распечатанную копию ваших приватных ключей. Поскольку лист бумаги кажется не самым надежным способом хранения ключей, рекомендуется также ламинировать его, чтобы утренний кофе не разрушил вашу финансовую стабильность.

В некоторых случаях сервисы горячих кошельков, такие как Crypterium, Wirex или Blockchain.com, будут хранить ваши приватные ключи для вас, избавляя вас от необходимости обращаться с ними самостоятельно.

Это удобно, но это не безопасно. Очевидно, что вы должны доверять свои ключи только надежным провайдерам кошельков.

Отправка фишинговых писем

Сейчас мы получаем много писем в день. Хакеры знают это и имеют инструменты, чтобы использовать это против вас.

Фишинг электронной почты состоит из электронного письма, предположительно пришедшего от службы, с которой вы, скорее всего, знакомы, и запрашивает данные для выполнения определенных операций.

Если вы используете службу кошелька, такую ​​как Blockchain.com, хакеры могут отправить электронное письмо от имени представителя компании и попросить вас поделиться некоторыми приватными данными, даже вашими приватными ключами.

Хотя некоторые из вас могут понять, что официальный представитель никогда не будет запрашивать такую ​​информацию, другие могут попасть в ловушку и предоставить эту информацию.

Помните, что приватные ключи похожи на PIN-коды. Ни один официальный представитель банка не позвонит вам и не отправит вам электронное письмо с просьбой предоставить такую ​​информацию.

Если вы получили сообщение такого рода, свяжитесь с официальными представителями и сообщите о проблеме как можно скорее.

Установка кейлоггеров

Речь идет о перехвате данных. И хакеры постоянно пытаются разными способами заполучить их.

Кейлоггеры – это вредоносные программы, которые регистрируют каждое напечатанное число, пароль и ПИН-код, введенные на вашем компьютере или мобильном устройстве, а затем передают их хакерам.

Если вредоносная программа попадает на ваше устройство, она становится для хакеров легким доступом к вашим приватным ключам. Но. как они попадают в ваше устройство в первую очередь?

Есть три основных способа заражения кейлоггером:

  1. Электронная почта: убедитесь, что ваша антивирусная система сканирует все вложения
  2. Запуск зараженного программного обеспечения с определенного сайта или торрента
  3. Вставка зараженного USB на ваш персональный компьютер или устройство

Загрузка поддельных кошельков

Хакеры пойдут на что угодно, чтобы украсть криптовалюту, а поддельные кошельки – отличный пример того, как далеко они хотят зайти.

Недавнее исследование показало, что в Google App Store есть несколько приложений, имитирующих Trezor, популярный кошелек криптовалют.

Экспертиза пришла к выводу, что поддельные мобильные кошельки, маскирующие официальный кошелек, использовали схожие названия и включали убедительные маркетинговые баннеры, чтобы не только обмануть пользователей, но и получить зеленый свет от платформы Google и избежать запрета.

Полезный совет, чтобы не попасть в эту ловушку, – загрузить приложение прямо с официального сайта кошелька.

Выдача себя за компанию или человека

Представьте себе: вы небольшой инвестор, и вы искали перспективную монету в сфере криптовалюты. Внезапно представитель этой компании протягивает руку, чтобы рассказать вам об эксклюзивном предложении продажи токенов. Похоже на сделку, верно?

Выдавать себя за компании, крипто-валютные биржи или людей – один из наиболее распространенных способов, на которые полагаются хакеры, чтобы получить доступ к вашим средствам.

Почему? Скажем так, проще кого-то обмануть, чем взломать компьютерную систему. В этом конкретном случае подражатели не заинтересованы во взломе вашего аккаунта, а просто в его краже. Они убедят вас перевести X биткойнов на конкретные адреса.

Более опытные хакеры будут создавать веб-сайты, чтобы вы могли войти и отправить свои монеты.

Троянские программы

Как и клавиатурные шпионы (кейлоггеры), трояны могут попадать на ваш компьютер и отслеживать ваше поведение, похищая все, что напоминает приватный ключ криптовалюты.

Трояны не являются чем-то новым, и, скорее всего, вы уже знаете, как предотвратить заражение ваших устройств.

Регулярные антивирусные проверки, загрузка файлов из безопасных источников и т. д.

Если криптовалютный троян получает доступ к вашему устройству и идентифицирует ваши ключи, хакер может легко забрать ваши ключи за считанные минуты.

Установка расширений браузера

Расширения браузера, от переводчиков до проверки грамматики, облегчают нашу жизнь во многих отношениях. Но их скрытый характер также создает потенциальную угрозу нашей безопасности.

Поступали многочисленные сообщения о расширениях браузеров, которые помимо предоставления ожидаемого сервиса также отслеживают и копируют данные для хакеров.

Именно поэтому в следующий раз, когда вы даетее доступ к расширению, проверьте, какая компания или разработчик стоит за ним, и дважды проверяйте отзывы.

Обход двухфакторной аутентификации

Двухфакторная аутентификация, или 2FA, – это дополнительный уровень безопасности, который используют надежные поставщики кошельков, такие как Crypterium, чтобы гарантировать, что реальные пользователи стоят за определенными транзакциями или операциями.

Например, если вы хотите вывести средства со своего счета на внешний кошелек или банковскую карту, вам потребуется ввести защитный код, отправленный на указанный вами адрес электронной почты или с помощью текстового сообщения.

Хотя это остается чрезвычайно эффективным способом защиты клиентов от нежелательных транзакций и мошеннических действий, были случаи, когда хакеры находили способы обойти 2FA. По этой причине важно всегда следить за полученными вами уведомлениями.

Публикация поддельных рекламных объявлений

Криптовалютным компаниям нелегко размещать рекламу в Google, Facebook или Twitter. Только несколько уважаемых фирм могут это сделать.

Тем не менее, некоторые мошеннические компании могут найти способ обойти и запустить краткосрочные кампании, нацеленные на людей, желающих покупать или продавать криптовалюты.

Общим красным флагом являются смехотворно низкие цены или комиссии, предлагаемые этими компаниями. Как правило, всегда обращайтесь к лицензированным компаниям, а не к неизвестным поставщикам.

Подделка вашего Буфера Обмена

Ритейлеры, которые принимают прямые платежи криптовалюты, обычно размещают адрес своего кошелька на своем веб-сайте, чтобы вы могли скопировать и вставить его в свой кошелек для перевода денег.

Но что, если существует вредоносная программа, которая портит эту простую операцию и вместо вставки адреса розничного продавца вводит другой адрес. Вы поняли идею.

Программа под названием CryptoShuffler, как сообщается, похитила более 150 000 долларов, сделав именно это. Самый простой способ – дважды проверить адрес, который вы вставляете, хотя это не очень приятная задача.

Следите за безопасностью

В своих статьях и видео на YouTube канале мы не однократно писали и говорили о том, что хранить криптовалюту на биржах очень опасно!

Поэтому мы советуем Вам подумать о будущем и обезопасить себя. Это можно сделать 2 способами:

  1. Купить надежный аппаратный кошелек Ledger Nano S или Ledger Nano X
  2. Установить холодные кошельки под все имеющиеся у Вас криптовалюты.

Эта инструкция будет обновляться и дополняться. Дополняйте и Вы ее своими комментариями!

Как взломать биткоин: квантовые компьютеры, ошибка в реализации, высшая математика

До недавнего времени все взломы, кражи и скамы в сфере криптовалют, так или иначе, были связаны с уязвимостью инфраструктуры — криптовалютных бирж, кошельков и сервисов. Но что будет, если взломают защиту основы основ — блокчейна биткоина.

По словам главы криптовалютной биржи Coinbase, Брайана Армстронга, вероятность, что кто-то найдет математическую уязвимость в системе криптографии в основе блокчейна сети биткоина, крайне мала, но риск все-таки есть. Более того, Филип Мартина, главы отдела безопасности в Coinbase, считает, что проблема куда серьезнее. [Forbes]

«Математическая уязвимость? В этом случае развал биткоина — это последнее, что будет нас беспокоить. Речь идет о цифровом апокалипсисе и коллапсе всего интернета», — уверен Мартин.

Дело в том, что шифрование лежит в основе всех цифровых процессов, протекающих в интернете. Триллионы долларов ежедневно текут по электронным сетям, защищенным шифрованием.

Читайте также:  Как ускорить транзакцию Bitcoin – лучшие способы

Поэтому, если хакеры найдут уязвимость в системе шифрования, проблема окажется значительно глубже, чем воровство цифровых активов (совокупная рыночная капитализация всех криптовалют в обращении на момент написания статьи составляет 284 млрд долларов).

Итак, какие факторы риска могут оказаться фатальными для биткоина.

Навигация по материалу:

Ошибка в реализации

Биткоин основан на принципах эллиптической криптографии (ECC). До настоящего времени никому не удавалось найти уязвимость в исходном коде первой криптомонеты, однако, обойти эту защиту на самом деле не так уж и трудно.

Японская корпорация Sony и американская Microsoft знают об этом не понаслышке. Обе компании пострадали, потому что хакеры нашли лазейки в реализации системы защиты с использованием ЕСС. Например, чтобы бесплатно играть в игры на PlayStation, достаточно было знать два валидных кода и немного алгебры на уровне старших классов средней школы.

Биткоин безуспешно пытаются взломать уже 11 лет, но нет никаких гарантий, что рано или поздно кто-то не наткнется на уязвимость в коде.

Человеческий фактор

На самом деле, чтобы украсть у кого-то биткоины, можно вообще не знать алгебру и даже не помнить таблицу умножения. Достаточно обладать даром убеждения и лгать без зазрения совести. По словам Джейми Армстеда, вице-президента банковского консорциума, управляющего платежной сетью Zelle, его беспокоят не хакерские атаки, а фишинг.

Например, фальшивые электронные письма на почту корпоративного казначея, или голосовые команды, позволяющие получить контроль над вашим устройством. Не говоря уже об угрозах перехвата сообщений на пути от отправителя к получателю. Специалисты в области кибербезопасности постоянно работают над улучшением протоколов коммуникации, но они все равно остаются слабым звеном.

Может ли какая-нибудь масштабная дезинформация заставить большинство нод в сети биткоин одновременно совершить фатальную ошибку? Тут нужен какой-то очень хитроумный обман, но потенциально такое возможно.

Высшая математика

Методы шифрования в целом выглядят надежными и достаточно хорошо изученными. Однако нужно понимать, что это не доказанная надежностью. Не исключено, что кто-то может найти частный случай, который разрушит всю стройную картину.

Простой пример: французский математик Ферма сделал простое предположение относительно экспонент двух чисел, которое казалось правильным, но было недоказуемым. Три сотни лет люди безуспешно пытались доказать его. И вот не так давно это удалось — отчасти благодаря эллиптическим кривым.

Квантовые компьютеры

Квантовые компьютеры теоретически способны сократить время, необходимое на дешифровку кода, с миллиардов лет до часов. В октябре прошлого года Google посеял панику среди криптографов, заявив о достижении квантового превосходства: экспериментальному устройству за 200 секунд выполнить вычисления, на которые у обычного компьютера ушли был 10 000 лет.

Эксперты IBM утверждают, что Google мастер на квантовые преувеличения. Но как бы там ни было вектор движения понятен. Не исключено, что лет через десять то, что сейчас возможно лишь в теории, станет реальностью.

Все время с момента создания биткоина криптовалютная отрасль подвергалась нападкам хакеров, скаммеров, мошенников всех сортов и мастей. В будущем ничего не изменится — биржи будут взламываться, люди будут обманываться, системы защиты ломаться. Вероятность большого коллапса, способного разрушить всю систему, невелика. И тем не менее она существует.

Дата публикации 19.02.2020
Поделитесь этим материалом в социальных сетях и оставьте свое мнение в комментариях ниже.

Как взломать биткоин

Если еще недавно большинство пользователей интересовали преимущественно технические особенности блокчейна и добычи криптовалют, то на сегодня наиболее актуальной темой становится безопасность. Так многих держателей монет интересует, можно ли и как взломать биткоин кошелек. Другими словами, пользователи хотят знать не только, как проверить биткоин адрес, но и о возможностях его максимальной защиты от злоумышленников.

Количество попыток взлома хакерами электронных хранилищ неуклонно растет. При этом используются разные способы, включая попытки узнать приватные ключи и активацию специального программного обеспечения.

Как можно взломать Биткоин кошелек

Стоит напомнить, что одной из главных характеристик системы Bitcoin является именно надежность. Однако практика показывает, что она все-таки имеет уязвимые места. Именно по этой причине количество пользовательских запросов, как взломать биткоин, в 2018 году резко увеличилось. При этом держатели цифровых монет интересуются не возможностью получения доступа к чужим кошелькам, а ответом на вопрос, что делать, чтобы сохранить свои виртуальные деньги, а также где скачать код при утрате ключей.

На данный момент к наиболее актуальным проблемам сети ВТС можно отнести следующие моменты:

  • Уязвимость специализированного ПО, проявляющаяся чаще всего в виде ошибок в коде. Необходимо учитывать, что Биткоин является молодой валютой. Однако разработчики постоянно совершенствуют всю систему, параллельно устраняя выявляемые баги. Одним из наиболее известных примеров ошибки кода стала транзакция, в рамках которой в 2010-ом году были переведены 184 млрд ВТС.
  • Взлом приватных ключей, непосредственно связанных в адресами кошельков. С одной стороны, благодаря особенностям блокчейна и механизма хэширования при наличии адреса узнать личный ключ не удастся. Для подбора комбинации придется перебрать огромное количество вариантов, а именно, 2 в 256-ой степени. Однако технологии постоянно совершенствуются и от появления технической возможности осуществления подобных вычислений уже в краткосрочной перспективе никто не застрахован.
  • Так называемая «Атака 51%». Суть ситуации заключается в том, что один пользователь или группа лиц имеют доступ к управлению более половины мощностей всей системы. Подобный контроль над криптовалютной сетью повышает риск кражи монет. наиболее эффективным способом защиты в данном случае стало повышение расходов на добычу монет, которое делает захват больших вычислительных мощностей нерациональным.

К сожалению, ответ на вопрос, возможен ли взлом ВТС-кошелька, является положительным. Однако реализовать подобный замысел очень сложно без участия в той или иной степени владельца хранилища. Разработчики уделяют максимальной внимание безопасности всей системы.

Самые распространенные способы взлома

Не секрет, что с ростом сложности сети, уменьшением вознаграждения и увеличением количества добытчиков участники криптовалютного сообщества ищут альтернативные варианты пополнения электронных бумажников. Речь в частности идет о Биткоин кранах с моментальными выплатами и играх, предоставляющих возможность заработать самую популярную цифровую валюту.

Сейчас все чаще можно встретить сообщения о попытках получения несанкционированного доступа к различным сервисам. Исходя из этого, возникает вопрос, как взломать биткоин кран. Однако наиболее актуальными стали проблемы со взломом именно кошельков. Как показывает статистика, чаще всего приходится сталкиваться с внедрением вредоносного софта, массовыми кражами монет с взломанных кошельков и подставными майнерами.

Видео: Можно ли взломать Биткоин

Как спасти биткоин-кошелек от хакеров? Методы и технологии взлома и защита от них

Биткоин и другие криптовалюты традиционно привлекают повышенное внимание мошенников самого разного калибра, которые не только используют их в своей противоправной деятельности, но и активно похищают не только с бирж, но и у рядовых пользователей.

Прибегая к помощи продвинутых технологий, хакеры находят все новые способы отъема средств, однако основные и проверенные временем методы остаются все те же, поскольку каждый день в криптовалютное пространство заходят новые люди, которые часто не располагают адекватным уровнем знаний и осведомленности для противодействиям таким атакам.

Ниже перечислены основные уловки и трюки хакеров, зная о которых пользователи могут как минимум обезопасить свои монеты.

Социальная инженерия и фишинг

Под социальной инженерией понимается совокупность обменных приемов, заставляющих пользователей выполнять на сайтах или в приложениях действия, которые могут нанести им ущерб. Одним из таких весьма популярных методов является фишинг – создание сайтов-клонов известных ресурсов, которые вынуждают пользователей раскрывать свои персональные данные, включая пароли, телефонные номера, реквизиты банковских карт, а в последние годы и приватные ключи от криптовалютных кошельков.

Ссылки на фишинговые сайты могут распространяться разными способами – это и рекламные объявления в соцсетях, и электронные письма, копирующие внешний вид рассылок от официальных проектов. Все это делается с единственной целью — заставить невнимательного пользователя перейти на фейковый сайт и ввести там персональные данные.

По данным Chainalysis, в криптовалютном пространстве фишинг оставался наиболее прибыльным мошенническим методом на протяжении 2017 и 2018 годов. Однако, если в 2017 году на его долю приходилось более 88% всех мошеннических схем, то в 2018 году этот метод стал менее эффективным, и его показатель успешности снизился уже до 38,7%.

Тем не менее опасность стать жертвой фишинговой атаки сохраняется. Среди последних таких инцидентов можно выделить атаки на популярный кошелек Electrum в декабре 2018 и в апреле 2019 гг. Нередко при этом атаки велись и на альткоин-кошельки.

Кроме того, за последнее время жертвами фишинговых атак становились биржи Bitfinex и Binance, аппаратный кошелек Trezor, платформа для покупки и продажи биткоинов LocalBitcoins, а также пользователи социальных сетей, например, Facebook. В последнем случае злоумышленники копируют страницы популярных криптовалютных сообществ, после чего используют фотографии участников реальных сообществ, отмечая их в посте как победителей программы лояльности к платформе.

О том, какое значение борьбе с фишингом придают ведущие представители индустрии, сполна говорит и тот факт, что в апреле этого года Binance Labs, венчурное подразделение криптовалютной биржи Binance, осуществило инвестиции в PhishFort. Эта компания специализируется на решениях по защите от фишинговых атак и ориентируется на бизнесы, находящиеся в высокой группе риска, такие как биткоин-биржи, ICO-проекты и платформы по выпуску токенов.

Рекомендации по защите от фишинговых атак весьма просты: повышение общей компьютерной грамотности, собственная внимательность (ручной ввод URL и проверка использования протокола https), а также используемое по умолчанию недоверие к объявлениям, предлагающим бесплатную раздачу криптовалют.

Троянские вирусы

Эти многочисленные вирусы представляют собой разновидность вредоносных программ, проникающих в компьютер под видом легального программного обеспечения. В данную категорию входят программы, осуществляющие различные неподтвержденные пользователем действия: сбор информации о банковских картах, нарушение работоспособности компьютера, использование ресурсов компьютера в целях майнинга, использование IP для нелегальной торговли и т. п.

Читайте также:  Как и где Биткоины за рубли через Сбербанк?

Но изобретательность хакеров на месте не стоит. Так, в 2018 году была обнаружена новая версия печально известного трояна Win32.Rakhni. Этот вирус известен еще с 2013 года, но если поначалу он фокусировался исключительно на шифровании устройств и требовании выкупа за разблокировку, то новая версия пошла намного дальше. Для начала она проверяет наличие папок, связанных с биткоин-кошельками, и если таковые обнаружены, шифрует компьютер и требует выкуп. Однако, если таких папок найдено не было, Win32.Rakhni устанавливает вредонос, похищающий вычислительные мощности компьютера с целью скрытого майнинга криптовалют, а также пытается распространиться на другие устройства в сети.

При этом, как видно на изображении выше, более 95% всех случаев заражения компьютеров этим трояном приходилось на Россию, второе и третье места достались Казахстану и Украине.

Согласно данным Kaspersky Labs, Win32.Rakhni чаще всего распространяется через электронные письма, в которых пользователям предлагается открыть прикрепленный pdf-файл, однако вместо ожидаемого содержимого запускается программа-вредонос.

Как и в случае с фишинговыми атаками для предотвращения заражения устройств необходимо соблюдать базовую компьютерную гигиену и быть крайне внимательным к открываемым вложениям.

Клавиатурные шпионы (keyloggers)

Вредоносные программы зачастую состоят из нескольких компонентов, каждый из них выполняет собственную задачу. По сути их можно сравнить с швейцарскими армейскими ножами – при их помощи хакеры могут выполнять множество различных действий на атакованной системе.

Один из популярных компонентов при атаках – это так называемые клавиатурные шпионы (кейлоггеры). Они представляют собой узкоспециализированный инструмент, записывающий все нажатия клавиш на устройствах. С его помощью злоумышленники могут незаметно завладеть всей конфиденциальной информацией пользователя, включая пароли и ключи от криптовалютных кошельков.

Чаще всего кейлоггеры проникают в системы с составе комплексного вредоносного софта, но иногда они могут быть встроены во вполне легальное программное обеспечение.

Производители антивирусных решений, как правило, добавляют известные кейлоггеры в свои базы, и метод защиты от них мало чем отличается от метода защиты от любого другого вредоносного софта. Проблема состоит в том, что кейлоггеров существует огромное количество, и уследить за всеми физически очень сложно. По этой причине клавиатурные шпионы с первой попытки часто не определяются антивирусами.

Тем не менее обычная компьютерная гигиена и использование специального софта могут стать хорошей помощью в борьбе с этим видом атак.

Публичные сети Wi-Fi

Кража средств через общедоступные сети Wi-Fi всегда была и остается одним из наиболее популярных инструментов злоумышленников. Большинство Wi-Fi-роутеров используют протокол WPA (Wi-Fi Protected Access), который не только шифрует всю информацию в беспроводной сети, но и обеспечивает доступ к ней только авторизованным пользователям.

Однако хакеры нашли лазейку и здесь: запуская несложную команду KRACK, они заставляют устройство жертвы переподключиться к собственной сети Wi-Fi, после чего получают возможность отслеживать и контролировать всю проходящую через нее информацию, включая ключи от криптовалютных кошельков.

Защититься от такой атаки помогают регулярные обновления прошивок роутера, а также собственная внимательность: никогда не следует осуществлять транзакции, находясь в публичных местах, вроде вокзалов, аэропортов, гостиниц или – что происходит весьма часто среди представителей биткоин-сообщества – на блокчейн-конференциях.

Slack-боты

Существует достаточно большое число ботов для Slack, которые хакеры успешно берут на вооружение. Как правило, такие боты отправляют пользователю уведомление о наличии проблем с его кошельком. Конечная цель – заставить пользователя нажать на уведомление и ввести приватный ключ.

Наиболее масштабной успешной хакерской атакой, в ходе которой были задействованы боты для Slack, стал инцидент с проектом Enigma в августе 2017 года. Тогда проект был вынужден приостановить пресейл токенов ECAT после того, как неизвестные злоумышленники взломали сайт проекта и, указав ложный ETH-адрес, лишили его более $400 000.

Кроме того, представители Enigma подтвердили, что также был скомпрометирован Slack-чат проекта:

Рекомендации: игнорировать подобные сообщения, слать жалобы на распространяющие их боты, установить защиту на Slack-канал (например, security-боты Metacert или Webroot).

Аутентификация по SMS и SIM Swapping

Аутентификация по SMS по-прежнему остается весьма распространенным методом верификации различных операций, в том числе и криптовалютных транзакций. Однако еще в сентябре 2017 года специализирующаяся на кибербезопасности компания Positive Technologies продемонстрировала, как легко можно перехватить SMS с паролем, пересылаемое по протоколу Signaling System 7 (SS7).

Демонстрация была проведена на примере аккаунта на платформе Coinbase, который был привязан к почте на Gmail. На первый взгляд могло показаться, что речь идет об уязвимости на стороне Coinbase, однако в действительности задействованный Positive Technologies инструмент собственной разработки использовал слабые места в самой сотовой сети. Перенаправив текстовые сообщения на собственный номер, исследователи смогли сбросить и установить новый пароль на почте, после чего получили полный доступ к кошельку.

В данном случае эксперимент был поставлен в исследовательских целях, и фактической кражи монет не произошло, однако его результаты показали, что такой метод вполне может быть использован и настоящими преступниками.

В специальном материале для ForkLog специалисты Hacken также перечислили основные варианты перехвата SMS :

  • Прослушка. Перехват SMS правоохранителями вследствие превышения служебных полномочий или нецелевого использования материалов негласных следственных действий.
  • Дублирование (клонирование) SIM-карты через оператора сотовой связи с использованием персональных данных клиента и дальнейшее использование клонированной SIM-карты в противоправной деятельности.
  • Ложная базовая станция для перехвата и расшифровки всех входящих сообщений абонента и дальнейшее использование перехваченных данных в противоправной деятельности.
  • Взлом “Персонального кабинета” абонента на сайте или приложении сотового оператора и переадресация всех сообщений на адрес злоумышленника, а также дальнейшее использование полученных данных в противоправной деятельности.

В этом списке также интересен второй пункт — клонирование (подмена) SIM-карты. Этот метод известен как SIM Swapping, и уже известен первый громкий случай, когда он был использован для кражи криптовалюты на $14 млн.

Речь идет о случае, произошедшем в 2018 году, когда в США были арестованы два хакера, сумевших убедить оператора мобильной связи передать им контроль над номером, где была двухфакторная аутентификация к аккаунту администратора проекта Crowd Machine.

Рекомендация: отказ от верификации через SMS в пользу специальных программ для двухфакторной аутентификации (2FA), например, Google Authenticator.

Мобильные приложения

Жертвами хакеров чаще всего становятся владельцы устройств на Android, вместо 2FA использующие только логин и пароль. Происходит это в том числе и потому, что процесс добавления приложений в Google Play Store менее строгий, чем у App Store. Злоумышленники пользуются этим, размещая собственные приложения, которые имитируют известные кошельки и биржи, и выманивают у невнимательных пользователей конфиденциальные данные.

Одна из громких историй с фейковыми приложениями была связана с биржей Poloniex. В ноябре 2017 года эксперты компании ESET обнаружили в Google Play программу, которая выдавала себя за официальное мобильное приложение этой американской биржи. Суть мошенничества заключалась в том, что скачавшие программу пользователи вводили туда логин и пароль. Это позволяло создателям вируса самостоятельно менять настройки, выполнять транзакции, а также получить доступ к почте пользователей.

Несмотря на то, что на тот момент у Poloniex не было официальных мобильных приложений (они были выпущены только в июле 2018), два варианта фейковых приложений установили более 5 тысяч человек. После предупреждения ESET они были удалены из Google Play.

Также в Google Play находились фальшивые приложения MetaMask и Trezor Mobile Wallet.

Пользователи устройств на iOS чаще становятся жертвами злоумышленников, распространяющих приложения со встроенной функцией скрытого майнинга. После обнаружения этой проблемы компания Apple была вынуждена ужесточить правила принятия приложений в App Store. При этом ущерб от таких приложений достаточно невелик — они только снижают производительность компьютера, не уводя при этом средства.

Рекомендации: не устанавливайте приложения, в которых нет крайней необходимости. Не забывайте о двухфакторной аутентификации, а также проверяйте ссылки на приложения на официальных сайтах проектов и платформы, чтобы убедиться в их подлинности.

Расширения, плагины и аддоны для браузеров

Существует немало браузерных расширений и плагинов, призванных сделать взаимодействие с криптовалютными кошельками более простым и комфортным. Однако написаны они, как правило, на JavaScript, что делает их уязвимыми к хакерским атакам. Речь может идти как о перехвате пользовательских данных и дальнейшем доступе к кошелькам, так и об установке программ для скрытого майнинга.

При этом, как отметили в Check Point Software Technologies Ltd, именно скрытые криптомайнеры остаются доминирующей угрозой для организаций по всему миру. Так, в 2018 году криптомайнеры стабильно занимали первые четыре строчки рейтингов самых активных угроз и атаковали 37% организаций по всему миру. В 2019 году, несмотря на снижение стоимости всех криптовалют, 20% компаний продолжают подвергаться атакам криптомайнеров каждую неделю.

Противостоять этой угрозе можно несколькими способами: установить отдельный браузер или даже отдельный компьютер для трейдинга, использовать режим инкогнито, регулярно обновлять антивирусные базы и не скачивать никаких сомнительных расширений или плагинов.

Несмотря на то, что основная часть хакерских атак приходится на биржи и компании, индивидуальных пользователей они также не обходят вниманием. Согласно результатам прошлогоднего исследования компании Foley & Lardner, 71% крупных трейдеров и инвесторов назвали наиболее высоким риском именно кражу криптовалют, 31% при этом назвал деятельность хакеров угрозой всей криптовалютной индустрии.

Хакеры, как правило, идут на шаг впереди всей индустрии, поэтому помимо специальных защитных программ не менее важным аспектом борьбы со злоумышленниками остается собственная компьютерная грамотность пользователей и отслеживание последних трендов и событий в области кибербезопасности.

Подписывайтесь на канал Forklog в YouTube!

Подписаться на новости Forklog

Свободное копирование и распространение материалов с сайта ForkLog разрешено только с указанием активной ссылки на ForkLog как на источник. Указание ссылки также является обязательным при копировании материалов в социальные сети или печатные издания.

Журнал ForkLog – информационный ресурс о криптовалютах, блокчейне и децентрализованных технологиях. Мы работаем для вас с 2014 года.
© 2020

Ссылка на основную публикацию