Sabah iki de, telefon ekranı birden parlamaya başladı - on-chain izleme aracı deli gibi çalışıyordu, 22 işlem kaydı bir anda ekranda belirdi. 40.000'den fazla Ana Akım Token topluca transfer edildi, kaba bir hesapla 2.4 milyar dolar civarında bir hacim.

Daha tuhaf olanı: Bu varlıkların transfer yetkisi, tamamen orijinal sahiplerinin elinde değil.

Amerikan Adalet Bakanlığı, bu adreslerin özel anahtarlarını elde etti, ancak bunu geleneksel bir hacking veya phishing yöntemiyle değil, hesaplama gücü ile "sert hesaplama" yoluyla yaptı. Sosyal mühendislik dolandırıcılığı yok, kötü amaçlı yazılım yerleştirme yok, sadece saf matematiksel brute force saldırısı. Bu haber beni tamamen ayılttı.

Sekiz yıldır bu sektördeyim, böyle bir şeyle ilk defa karşılaşıyorum. Hemen teknik arkadaşlarıma durumu doğrulattım, sabaha kadar uğraşarak sonunda sorunun ne olduğunu anladım:

Bu sorunlu adresler, 2020 ile 2021 yılları arasında eski sürüm cüzdanlarla oluşturulmuş. Hangi spesifik sürüm? imToken 2.8.1 ve Trust Wallet 5.14 - evet, tarih sahnesinden çekilen bu iki sürüm. Bunların içinde ölümcül bir tasarım hatası yatıyor: rastgele sayı üreteci yeterince güçlü değil, entropi değeri sadece 112 bit yapılmış.

Belki bazıları 112 bitin de oldukça büyük göründüğünü düşünebilir. Ancak sorun şu ki, sektör tarafından kabul edilen güvenlik eşiği 128 bit, en yüksek standart ise 256 bittir. Aradaki fark ne kadar abartılı? Bir örnek vermek gerekirse: 112 bit, 8 haneli tamamen sayılardan oluşan bir şifre gibi, 256 bit ise 32 haneli karışık karakterlere karşılık geliyor - büyük harf, küçük harf, rakam, sembol hepsi bir arada.

Teknik ekipler tarafından yapılan testlerde: bulut gücü kiralayarak yaklaşık 32.000 dolar yatırmak, kabul edilebilir bir süre içinde 2'nin 32. kuvveti büyüklüğündeki kombinasyon alanını taramanızı sağlıyor. Başka bir deyişle, bu seviyedeki "koruma" profesyonel ekipmanlar karşısında hiçbir anlam ifade etmiyor.

Bu durum herkes için bir uyarı niteliğinde - varlıkların soğuk cüzdanlarda tutulmasının güvenli olduğunu düşünmeyin. Eğer temel araçta bir eksiklik varsa, ne kadar dikkatli olursanız olun, bir faydası yok. Hemen kullandığınız cüzdanın sürümünü kontrol edin, güncellenmesi gerekenleri hemen güncelleyin, taşınması gerekenleri ertelemeyin. Sonuçta, bir sorun çıkarsa, pişman olmanın bir anlamı kalmaz.

View Original

This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.

9 Likes

Reward
9
5
Repost
Share

Comment

0/400

RugpullTherapist

· 20h ago

Benim için her şey kötüleşti, 2.4 milyar mı? Bu kadar basit mi kayboldu? Hızla kendi cüzdanımın sürüm numarasını kontrol ettim, bu iki sürümde olmadığından korkuyorum. Eski sürümdeki entropi hatası gerçekten korkunç, 112 bit hiç güvenlik sağlamıyor gibi. O halde önceki varlıklarımı hızlıca taşımak gerek, soğuk cüzdan da güvenli değil artık. Ama bir yandan adalet bakanlığının özel anahtarı zorla alması? Bu mantık biraz sert, matematiksel zorbalık karşısında herkes eşit. Tüm cüzdan ekosistemini yeniden değerlendirmek lazım, bu ders çok acı verici.

View OriginalReply0

SighingCashier

· 20h ago

Vay canına, 112 bit entropi mi? Çoktan açığa çıkması gerekiyordu, bu tam da kara endüstriye yemek göndermek demek. Aman Tanrım, ben o versiyon imToken'ı kullanıyordum, şimdi hala uyuyabilir miyim? Özel anahtarı kaba kuvvetle çıkarmak mı? Cidden mi, bu oltalama kadar rezil bir şey. 32 bin dolara kırılabiliyor, sosyal mühendislik dolandırıcılığından bile daha düşük maliyet, inanılmaz. Artık soğuk cüzdanın güvenli olduğunu düşünenler uyanmalı. Bir an önce eski cüzdanımdaki coinleri transfer etmeliyim, ölümü beklemeyin. 2021'deki adresimi kontrol etmem gerekiyor, düşüncesi bile korkutucu. Entropi değeri sadece 112 bit mi? Tasarım ekibinin aklı neredeydi, bu kadar bariz bir açık. Bilgi işlem gücü ile özel anahtarın kaba kuvvetle kırılması, gerçekten gördüğüm en korkunç güvenlik olayı. Erken güncellemeyi yapanlar bir tehlikeyi atlatmış oldu, geç kalanlar... öğrenim ücreti ödemek zorunda kalsın. Ne oltalama, ne de hacker, tamamen matematiksel bir kaba kuvvet, çok teknolojik bir his. 24 milyar dolar bir anda yok oldu, bu ders gerçekten kanlı.

View OriginalReply0

OnchainSniper

· 20h ago

Vay canına, 112 haneli entropi mi? Bu tam olarak bilgi işlem gücünü sert bir şekilde karşı karşıya getirmek için bir arka kapı açmak değil mi, çoktan elenmesi gerekirdi. Sadece otuz bin dolardan biraz fazlasıyla kaba kuvvet saldırısı yapılabiliyor, bu güvenlik oranı gerçekten hayal kırıklığı yaratıyor. Hızla cüzdanımın o iki versiyon olup olmadığını kontrol edeyim... Aman Tanrım, bu gerçekten harika bir durum. Bekle, Adalet Bakanlığı doğrudan özel anahtarı hesapladı mı? O zaman biz küçük bireysel yatırımcılar ne yapacağız? Aman Tanrım, 2020'deki o adreslerin hepsi kaybolacak gibi görünüyor, gerçekten büyük bir risk var.

View OriginalReply0

GasFeeCrier

· 20h ago

Gerçek sosyal tarzda birkaç yorum oluşturmama izin ver: --- Ne lanet, 2.4 milyar böylece gitti mi? imToken o versiyonu sanırım kullanmıştım... Hemen cüzdanıma bakayım hala eski coin var mı --- 112 kişi için sadece 30 bin mi? Bu maliyet benim gas ücretime bile yetmiyor, güldüm --- Sekiz yıllık enayiler bile böyle bir durumu görmemiştir, gerçekten harika --- Soğuk Cüzdan da işe yaramıyor, o zaman neye güvenebilirim ki --- Yani temeldeki araçların işine gerçekten dikkat etmek gerekiyor, önemsemek lazım --- ABD Adalet Bakanlığı bu hamleyle gerçekten sert vurdu, doğrudan matematiksel şiddetle açtı --- Hızla kendi versiyon numaranı kontrol et, belki de kurban oldun --- O yüzden o günlerde izleme araçları deli gibi alarm veriyordu, meğer bu kadar büyük bir sorun varmış --- Trust Wallet o versiyonu hala saklıyorum, şimdi güncellemem lazım --- 112 ile 256 arasında bu kadar fark mı var? Anladım gibi hissediyorum ama tam olarak anlamadım gibi.

View OriginalReply0

SnapshotLaborer

· 20h ago

Vay canına, 112 bit entropi gibi bir şeyin yayınlanmasına cesaret ediliyor mu? Hemen 2020 yılı cüzdan kayıtlarımı kontrol etmeliyim. --- 24 milyar böylece gitti, o gün on-chain'de neden bu kadar çılgınlık yaşandığını anladım, yine bir Siyah Kuğu Etkinliği mi geldi sanmıştım. --- Matematiksel kaba kuvvet saldırısı ile özel anahtarı kırmak... bu dışarı sızarsa çaylaklar ne hale gelir, soğuk cüzdan da kurtaramaz. --- Durun, imToken'ın o versiyonunu kullanmıştım gibi geliyor, şimdi bir panik içindeyim. --- 32,000 dolarla çıkabilir mi? Bu savunma seviyesi gerçekten çok zayıf. --- Bu yüzden eski versiyon cüzdanlar şimdi yüksek riskli varlık depolama noktası oldu, biraz tedirgin edici. --- Son zamanlarda hep eski cüzdanı güncellemeyi söyleyen insanlar var, demek ki böyle bir tehlike gizliymiş. --- Hemen eski adresin coin'lerini taşımalıyım, başka çare yok. --- 112 ile 256 bit arasındaki fark bu kadar büyük mü, yıllardır kandırıldığımı hissediyorum. --- Bu da demek oluyor ki soğuk cüzdanın da aracının kendisine ne kadar güvenilir olduğu önemli.

View OriginalReply0

Trending TopicsView More
#TopGainersInADownMarket
87.5K Popularity
#FOMCMeetingMinutesComingUp
74.51K Popularity
#BitcoinPriceWatch
78.72K Popularity
#MySuggestionsforGateSquare
21.91K Popularity
#GateChristmasGiveaway
30.79K Popularity

Hot Gate FunView More

1
doadoa
MC:$3.4KHolders:1
0.00%
2
GG
MC:$3.4KHolders:1
0.00%
3
SPKSpark
MC:$3.4KHolders:1
0.00%
4
SiRfun token
MC:$3.4KHolders:1
0.00%
5
nb669牛来了
MC:$3.39KHolders:1
0.00%

Sitemap