Natagpuan ng Ether Thief ang Pagnanakaw ng mga Pondo na May Mahinang Pribadong Susi

Sinasamantala ng isang hindi kilalang entity ang mahihinang pribadong susi para makaipon ng libu-libong ETH, ayon sa isang bagong pag-aaral.

Ang pag-aaral -- "Ethercombing: Paghahanap ng mga Sikreto sa Mga Sikat na Lugar” -- ay isinagawa ng Independent Security Evaluators (ISE), isang security consulting firm, at inilathala noong Martes. Ang mga natuklasan ng kumpanya ay sakop din sa isang kuwento ni Si Andy Greenberg ni Wired.

Sa ONE punto -- Enero 2018, sa panahon ng ramp ng presyo ng Crypto noong nakaraang taon -- umabot ito sa halos 38,000 ETH, isang halagang nagkakahalaga ng higit sa $54 milyon. Ngayon, ayon sa ulat, ang tinatawag na "blockchainbandit" -- mayroong 44,744 ETH, o $6.1 milyon na halaga, sa isang address na natuklasan sa gitna ng paghahanap ng mga address na protektado ng mahihinang pribadong key. Ang mga pribadong key ay mga string ng data na, sa kaso ng mga cryptocurrencies, nagbibigay-daan sa mga user na aktwal na magpadala ng mga transaksyon mula sa kanilang mga address. Ang mga susi na ito ay kailangang maingat na bantayan o maaaring makompromiso, na nagpapahintulot sa mga aktor sa labas -- sa kasong ito, ang blockchainbandit -- na kunin ang mga pondo sa halip.

Sa simula, hinangad ng ISE na "tuklasin ang mga susi na maaaring nabuo gamit ang maling code, may sira na random na mga generator ng numero, o isang kumbinasyon ng pareho," dahil, sa ilalim ng normal na mga pangyayari, ang pagtuklas ng mga nilikha ayon sa layunin ay dapat na "lahat ngunit imposible," ayon sa kompanya.

Gayunpaman, nakahanap ang ISE ng 732 pribadong key sa panahon ng pagsisiyasat nito, na pinagsama-samang naglabas ng mahigit 49,000 na transaksyon sa Ethereum . Natukoy din ng team ang 13,319 Ethereum na inilipat sa alinman sa mga di-wastong address ng patutunguhan, o mga wallet na nagmula sa mga mahihinang key na sa taas ng Ethereum market ay may pinagsamang kabuuang halaga na $18,899,969.

Si Adrian Bednarek, isang mananaliksik at analyst para sa ISE, ay nagsabi kay Wired na ang hindi kilalang magnanakaw ay "ginagawa ang parehong mga bagay na ginagawa namin ngunit siya ay lumampas" at ang proseso mismo ay malamang na awtomatiko.

"Kung sino man ang taong ito o ang mga taong ito, gumugugol sila ng maraming oras sa pag-compute sa pagsinghot para sa mga bagong wallet, pagmamasid sa bawat transaksyon, at tinitingnan kung mayroon silang susi sa kanila," sinabi ni Bednarek sa publikasyon.

Sa konklusyon ng ulat, isinulat ng ISE na "dapat itong tapusin na ang anumang mga sistema na humahawak ng mga pribadong key ay magiging mas mataas na banta para sa mga naka-target na pag-atake" ng mga magiging crypto-thieves.

"Ang mga developer ng software na nagdidisenyo ng software o mga system na nakikipag-ugnayan sa mga napakahalagang pribadong key ay dapat na isama ang lahat ng magagamit na depensa sa malalim na mga prinsipyo upang kontrahin ang mga kasalukuyang pagbabanta at gumamit ng mga makabagong hakbang upang labanan ang mga advanced na banta sa kasalukuyan at hinaharap laban sa mga asset na ito na may mataas na halaga," isinulat ng koponan.

Ethereum coin sa itim na larawan sa background sa pamamagitan ng Shutterstock