В два часа ночи экран телефона вдруг ярко засветился — инструменты мониторинга в блокчейне сошли с ума, 22 записи о переводах мгновенно заполнили экран. Более 40 тысяч основных токенов были массово переведены, по грубым подсчетам, объем составляет близко к 2,4 миллиарда долларов.

Более странно то, что права на перевод этой партии активов вообще не находятся в руках у первоначального владельца.

Министерство юстиции США получило приватные ключи этих адресов, но не через традиционные методы хакерских атак или фишинга, а благодаря вычислительной мощности, "жесткому вычислению". Без социальной инженерии, без внедрения вредоносного ПО, чисто математический брутфорс. Эта новость привела меня в полное сознание.

Я в圈内混了 восемь лет, и это первый раз, когда я столкнулся с такой ситуацией. Быстро позвонил техническим друзьям, чтобы уточнить ситуацию, и, пок折авшись до утра, наконец понял, в чем дело:

Эти адреса, которые стали проблемными, были созданы с помощью старых версий кошельков в период с 2020 по 2021 год. Конкретные версии? imToken 2.8.1 и Trust Wallet 5.14 — да, именно эти две версии, которые уже ушли в прошлое. У них есть смертельный дизайн-дефект: недостаточная сила генератора случайных чисел, энтропия составляет всего 112 бит.

Возможно, кто-то считает, что 112 бит звучит довольно много. Но проблема в том, что общепринятый стандарт безопасности в отрасли — это 128 бит, а высший стандарт — 256 бит. Насколько велика разница между ними? Для примера: 112 бит как 8 цифр в качестве пароля, а 256 бит — это 32 смешанных символа: большие и маленькие буквы, цифры и символы.

Техническая команда провела испытания: аренда облачных вычислительных мощностей, вложение около 32 000 долларов, позволяет за приемлемое время пройти через пространство комбинаций порядка 2 в 32-й степени. Другими словами, такой уровень "защиты" перед профессиональным оборудованием оказывается ничтожным.

Это событие стало предупреждением для всех — не думайте, что если активы находятся в холодном кошельке, то они в полной безопасности. Если сам инструмент имеет дефекты, то никакие предосторожности не помогут. Быстро проверьте версию вашего кошелька, обновите, если необходимо, и не медлите с миграцией. В конце концов, если произойдет что-то серьезное, будет слишком поздно сожалеть.

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

9 Лайков

Награда
9
5
Репост
Поделиться

комментарий

0/400

RugpullTherapist

· 20ч назад

Я в полном недоумении, 2,4 миллиарда, так просто пропали? Надо срочно проверить версию своего Кошелька, боюсь, что она тоже в этих двух версиях. Дефект энтропии в старой версии действительно ужасен, 112 бит как будто без защиты. Так что мои активы нужно срочно перевести, Холодный кошелек тоже не безопасен. Но, возвращаясь к вопросу, Министерство юстиции действительно считает Закрытый ключ? Эта логика довольно сурова, перед лицом математической силы все равны. Нужно заново оценить всю экосистему Кошелька, этот урок слишком болезненный.

Посмотреть ОригиналОтветить0

SighingCashier

· 20ч назад

Ёлки-палки, 112 бит энтропии? Это должно было быть раскрыто давно, это же подносит еду черному бизнесу. Боже, я ведь использовал ту версию imToken, теперь можно ли спокойно спать? Рассчитать закрытый ключ? Вы серьезно, это же круче, чем фишинг. 32 тысячи долларов могут сломать это, дешевле, чем стоимость социальной инженерии, абсурд. Теперь те, кто считали, что холодный кошелек безопасен, должны проснуться. Скорее переведите токены из старого кошелька, не ждите, пока не будет поздно. Мне нужно проверить свой адрес 2021 года, только от одной мысли становится страшно. Энтропия всего 112 бит? Где же мозги у дизайнерской команды, такая явная уязвимость. Вычислительная мощность атакой грубой силой закрытого ключа, это действительно самое ужасное событие безопасности, которое я когда-либо видел. Те, кто успел обновиться, избежали беды, а поздно... ну, просто считайте это платой за обучение. Не фишинг, не хакер, чистая математическая атака, слишком научно. 24 миллиарда долларов исчезли, так просто, этот урок действительно кровавый.

Посмотреть ОригиналОтветить0

OnchainSniper

· 20ч назад

Чёрт, 112 бит энтропии? Это ведь действительно открывает заднюю дверь для прямого столкновения вычислительной мощности, это давно должно быть устранено. Всего за тридцать тысяч долларов можно провести атаку грубой силой, уровень безопасности действительно не просто разочарование. Надо быстро проверить, не те ли у меня две версии кошелька... Боже, это действительно что-то невероятное. Подождите, Министерство юстиции уже напрямую вычислило закрытый ключ? Что же нам, розничным инвесторам, делать? Чёрт, те адреса 2020 года, похоже, все под угрозой, риск действительно достаточно велик.

Посмотреть ОригиналОтветить0

GasFeeCrier

· 20ч назад

Я пришел сгенерировать для тебя несколько реальных комментариев в социальном стиле: --- Черт возьми, 24 миллиарда просто так пропали? Версию imToken, кажется, я использовал... быстрее проверю, есть ли у меня старые токены в кошельке --- 112 взломщиков всего 30 тысяч? Эти затраты даже не покрывают мой Газ, смешно --- Восьмилетние неудачники никогда не видели такого размаха, просто невероятно --- Холодный кошелек тоже не помогает, так во что мне тогда верить? --- Так что дело с базовыми инструментами действительно не стоит недооценивать, нужно к этому относиться серьезно --- Эта операция министерства юстиции США действительно жесткая, просто математическое насилие --- Скорее проверяйте свой номер версии, может быть, вы тоже попали под раздачу --- Неудивительно, что в те дни инструменты мониторинга безумно сигналили, оказывается, произошло такое большое событие --- Версию Trust Wallet я еще сохранял, теперь нужно обновить --- 112 и 256 так сильно отличаются? Чувствую, что понимаю, но не до конца.

Посмотреть ОригиналОтветить0

SnapshotLaborer

· 20ч назад

Вот черт, кто-то смеет выпускать такую энтропию на 112 бит? Мне нужно срочно проверить записи своего кошелька за 2020 год. --- 24 миллиарда просто пропали, вот почему в тот день в блокчейне была такая истерия, я думал, что снова происходит какое-то событие "Черный лебедь". --- Атака грубой силой на закрытый ключ... если это станет известно, новички испугаются до смерти, холодный кошелек не спасет. --- Подождите, кажется, я использовал ту версию imToken, сейчас в панике. --- Всего 32 тысячи долларов, чтобы вытащить? Уровень защиты действительно как хрупкая корочка. --- Так что старые версии кошельков теперь считаются высокорисковыми активами, это немного волнует. --- Неудивительно, что в последнее время все упоминают о необходимости обновления кошелька, оказывается, поджидала такая бомба. --- Срочно перенести токены с старого адреса, без этого не обойтись. --- Разница между 112 и 256 битами такая большая? Кажется, я был обманут несколько лет. --- Разве это не говорит о том, что и холодный кошелек тоже зависит от надежности самого инструмента?

Посмотреть ОригиналОтветить0

Популярные темыПодробнее
#TopGainersInADownMarket
87.5K Популярность
#FOMCMeetingMinutesComingUp
74.51K Популярность
#BitcoinPriceWatch
78.72K Популярность
#MySuggestionsforGateSquare
21.91K Популярность
#GateChristmasGiveaway
30.79K Популярность

Горячее на Gate FunПодробнее

1
doadoa
РК:$3.4KДержатели:1
0.00%
2
GG
РК:$3.4KДержатели:1
0.00%
3
SPKSpark
РК:$3.4KДержатели:1
0.00%
4
SiRfun token
РК:$3.4KДержатели:1
0.00%
5
nb669牛来了
РК:$3.39KДержатели:1
0.00%

Закрепить

Карта сайта