Журналисты Wired рассказали, что взлом кошельков Ethereum стал постоянной и надежной статьей дохода хакера, который владеет адресом, входящим по размеру накоплений ETH в топ-400.
Суть метода достаточно проста – злоумышленник использует несовершенство Ethereum-кошельков, которые массово создаются различными стартапами или отдельными кодерами. Некоторые из них предлагают пользователям самими выбирать секретный ключ, другие генерируют откровенно его слабые версии.
Особенностью блокчейна Ethereum является возможность переноса депозита в любой другой аккаунт с помощью вставки ключа доступа – так поступают многие биржи, чтобы экономить на майнерской комиссии. Хакер заранее имеет список слабых ключей-кодов и ПО, чтобы отслеживать и проверять все адреса, возникающие при транзакциях в обозревателе блоков. Оно же автоматически применяет набор ключей-отмычек к каждому адресу, подставленному в свой кошелек чтобы войти и украсть депозит при совпадении кода.
Ради эксперимента Wired попробовали разместить депозит ETH в кошельке со «слабым» ключом, средства были украдены через секунду. Это указывает на то, что хакер или группа злоумышленников постоянно отслеживает ненадежные пароли, о которых многие пользователи не подозревают, доверяя программному обеспечению.
Как избежать атаки, сохранить депозит? Пользуйтесь проверенными и надежными кошельками «раскрученных» стартапов.
Комментарии:
Анонимус
#
Как это вообще возможно? И как понять какой ключ слабый?
чт, 04/25/2019 - 00:35
Иван Петров
#
На простом примере - хакер берет пароль qwerty и применяет его к любому найденному почтовому ящику -последовательно перебирая все доступные ему электронные адреса.
Так и здесь - список ключей у хакера есть, адрес кошелька он берет из обозревателя блоков, это информация доступна. Если вошел в кошелек - переводит оттуда средства.
чт, 04/25/2019 - 06:47