О другій годині ночі екран телефону раптово засвітився — інструмент моніторингу у блокчейні, як божевільний, миттєво видав 22 записи про перекази. Понад 40 тисяч Популярний токен колективно перемістилися, приблизно 24 мільярди доларів США.

Ще більш дивно, що права на передачу цих активів зовсім не знаходяться у первісного власника.

Міністерство юстиції США отримало приватні ключі цих адрес, але не через традиційний хакерський злочин або фішинг, а завдяки "жорсткому" обчисленню. Без соціальних інженерних схем, без шкідливого ПЗ, чистий математичний брутфорс. Це повідомлення змусило мене відчути себе зовсім інакше.

Провівши в середовищі вісім років, я вперше стикаюся з такою ситуацією. Швидко знайшов технічного друга, щоб перевірити ситуацію, і до самого світанку нарешті зрозумів, у чому проблема:

Ці адреси, в яких сталася проблема, були створені старими версіями гаманців у період з 2020 по 2021 рік. Яка конкретно версія? imToken 2.8.1 та Trust Wallet 5.14 — так, це саме ці два вже зниклі з історії варіанти. Вони містять смертельний недолік у дизайні: недостатня сила генератора випадкових чисел, ентропія лише на рівні 112 біт.

Можливо, хтось вважає, що 112 біт звучить досить багато. Але проблема в тому, що визнана галуззю межа безпеки — це 128 біт, а топовий стандарт — 256 біт. Наскільки величезна ця різниця? Наприклад: 112 біт — це як використовувати 8-розрядний чистий цифровий пароль, а 256 біт — це 32-розрядні змішані символи — великі літери, маленькі літери, цифри, символи — все разом.

Технічна команда провела реальні тести: орендувавши хмарні обчислювальні потужності, інвестувавши приблизно 32 000 доларів США, можна за прийнятний час перебрати простір комбінацій порядку 2 в 32-му ступені. Іншими словами, цей рівень "захисту" перед професійним обладнанням є марним.

Ця справа стала сигналом для всіх — не думайте, що активи в холодному гаманці абсолютно захищені. Якщо у базових інструментах є недоліки, будь-які запобіжні заходи будуть марними. Швидше перевірте версію вашого гаманця, оновіть, якщо потрібно, не вагайтесь, якщо потрібно мігрувати. Адже, якщо станеться біда, вже буде пізно шкодувати.

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

9 лайків

Нагородити
9
5
Репост
Поділіться

Прокоментувати

0/400

RugpullTherapist

· 20год тому

Я зовсім розгубився, 2.4 мільярда, так просто пропало? Швидко перевіряю версію свого гаманця, боюся, що я теж знаходжуся в цих двох версіях. Недолік ентропії у старій версії справді дивовижний, 112 бітів нічого не захищає. Тож мої активи потрібно терміново перевести, холодний гаманець також не є безпечним. Хоча, якщо повернутися до теми, Міністерство юстиції жорстко перевіряє закриті ключі? Ця логіка дещо жорстка, перед математичною силою всі рівні. Потрібно переосмислити всю екосистему гаманців, цей урок занадто болючий.