Una historia de bandidos del tipo de las criptomonedas fue un elemento popular en los sitios de tecnología esta semana, con asombrosas cantidades de dinero recogidas por algún bandido blockchain, y detectado por consultores de seguridad, Evaluadores de seguridad independientes.

La debilidad proviene de una generación de claves privadas mal implementada, facilitar el robo de criptomonedas. El bandido está adivinando claves privadas, y el bandido está ganando millones.

Los investigadores detectaron 732 claves privadas utilizadas activamente en la cadena de bloques Ethereum. "Nuestra investigación buscó localizar direcciones de Ethereum basadas en el uso de claves débiles, y examinar cómo se utilizan esas direcciones, ", dijo el equipo en su documento. (El proyecto Ethereum utiliza criptografía de curva elíptica para generar el par de claves pública / privada).

En el proceso, y detallado por Andy Greenberg en Cableado , Los investigadores descubrieron que los usuarios de criptomonedas han almacenado en los últimos años su tesoro criptográfico con cientos de claves privadas fáciles de adivinar. También descubrieron a un bandido.

¿Cómo encontraron los investigadores las claves? Errores de programación en el software que generó las claves privadas. "Estas claves privadas no son lo suficientemente aleatorias, lo que hace que sea trivial que una computadora utilice la fuerza bruta y eventualmente adivine, ", dijo el blog de ISE.

"Una sola cuenta de Ethereum parece haber desviado una fortuna de 45, 000 ether, con un valor en un momento de más de 50 millones de dólares, utilizando esos mismos trucos para adivinar las claves ".

Sus notas de video:"Mientras investigábamos la generación de claves en la cadena de bloques de Ethereum, descubrimos que alguien estaba robando fondos de direcciones de claves privadas débiles. El 13/01/18, este bandido blockchain tenía un saldo de 37, 926 ETH valorado en 54 millones de dólares ".

ISE descubrió 732 claves privadas así como sus correspondientes claves públicas. Escribieron sobre su método en su artículo. Ellos dijeron, "en lugar de intentar realizar una búsqueda por fuerza bruta de claves privadas aleatorias, ideamos formas de descubrir claves que pueden haber sido generadas usando código defectuoso, generadores de números aleatorios defectuosos, O una combinación de ambos."

Adrian Bednarek, consultor de seguridad, como se cita en Cableado . "Quienquiera que sea este tipo o estos tipos, dedican mucho tiempo a la informática buscando nuevas carteras, viendo cada transacción, y ver si tienen la llave ".

ISE emitió una serie de recomendaciones basadas en los hallazgos de su investigación, incluyendo estos. Utilice un generador de números pseudoaleatorios criptográficamente seguro en lugar de cualquier generador de números pseudoaleatorios; auditar el código fuente y el código compilado resultante para verificar que las claves generadas aleatoriamente no estén truncadas o mal formadas por flujos de trabajo defectuosos que interactúan con ellas; no genere claves privadas basadas en frases de contraseña, también conocidas como billeteras cerebrales, ya que las personas tienden a usar frases de contraseña fáciles de adivinar.

Tan importante, esta no es una escapada única. Los robos continúan.

El blog de ISE decía:"el bandido parece estar operando una campaña en curso para saquear criptomonedas de billeteras derivadas de claves privadas débiles. Los investigadores de ISE colocaron intencionalmente un dólar estadounidense de ETH en una billetera derivada de clave privada débil y lo vieron en segundos, el ETH fue transferido a la billetera del bandido ".

¿Quién podría estar haciendo esto? Bednarek no tiene una idea real de quién podría ser el bandido de blockchain, escribió Greenberg. "No me sorprendería que fuera un actor estatal, como Corea del Norte, pero eso es solo especulación, —dijo Bednarek.

© 2019 Science X Network