एक Bitcoin उपयोगकर्ता ने एक समझौता किए गए वॉलेट में क्रिप्टोकरेंसी भेजने के बाद धन खो दिया, जिसने एक coinbase ब्लॉक पुरस्कार से लेनदेन पहचानकर्ता को अपनी निजी कुंजी के रूप में उपयोग किया था।
सारांश
- एक Bitcoin उपयोगकर्ता ने 0.84 BTC एक समझौता किए गए वॉलेट में भेजा जिसकी निजी कुंजी ब्लॉक 924,982 coinbase लेनदेन पहचानकर्ता से प्राप्त की गई थी, जिससे यह चोरी के लिए उजागर हो गया।
- mempool की निगरानी करने वाले स्वचालित कार्यक्रमों ने जमा का पता लगाया और replace-by-fee लेनदेन के माध्यम से प्रतिस्पर्धा की, कभी-कभी धन का दावा करने के लिए शुल्क में मूल्य का लगभग 100% भुगतान किया।
- निजी कुंजियों के लिए पूर्वानुमानित या सार्वजनिक रूप से उपलब्ध डेटा—जैसे लेनदेन IDs या सामान्य शब्द पैटर्न—का उपयोग तत्काल शोषण को सक्षम करता है, जो कुंजी निर्माण में सच्ची एन्ट्रॉपी के महत्वपूर्ण महत्व को उजागर करता है।
क्रिप्टोकरेंसी प्रकाशन Protos के अनुसार, ब्लॉक 924,982 से Coinbase का लेनदेन पहचानकर्ता वॉलेट के लिए निजी कुंजी के रूप में काम करता था, जिससे एक सुरक्षा कमजोरी उत्पन्न हुई जिसने स्वचालित बॉट गतिविधि को ट्रिगर किया।
इस घटना ने लंबित लेनदेन के Bitcoin के मेमोरी पूल, या mempool से जुड़े स्वचालित कंप्यूटर कार्यक्रमों को धन के लिए प्रतिस्पर्धा करने के लिए प्रेरित किया। ये बॉट्स स्वचालित रूप से समझौता किए गए वॉलेट में जमा का पता लगाते हैं और निकासी लेनदेन के लिए खनिकों को प्रतिस्पर्धी कार्यक्रमों के शुल्क से अधिक बोली लगाने के लिए replace-by-fee लेनदेन प्रसारित करते हैं।
ब्लॉकचेन डेटा के अनुसार, रिपोर्ट किए गए उदाहरण में, 0.84 BTC एक ऐसे पते पर भेजा गया और खो गया जिसमें ब्लॉक के coinbase पहचानकर्ता से प्राप्त एक गैर-यादृच्छिक निजी कुंजी थी।
ऐसी गतिविधि की निगरानी करने वाले पर्यवेक्षकों के अनुसार, स्वचालित प्रणालियां अन्य बॉट्स के साथ प्रतिस्पर्धा में लेनदेन शुल्क को क्रमिक रूप से बढ़ाने के लिए replace-by-fee तंत्र का उपयोग करती हैं। कुछ मामलों में, चाइल्ड लेनदेन शुल्क में लेनदेन मूल्य का 99.9% तक भुगतान करते हैं।
क्रिप्टोकरेंसी सुरक्षा विशेषज्ञों के अनुसार, निजी कुंजियां bitcoin होल्डिंग्स की सुरक्षा के लिए सबसे महत्वपूर्ण सुरक्षा तत्व का प्रतिनिधित्व करती हैं। जब एक निजी कुंजी उजागर होती है या सामान्य डेटा पैटर्न से प्राप्त होती है, तो चोरी आमतौर पर तुरंत होती है।
सुरक्षा शोधकर्ताओं के अनुसार, गैर-यादृच्छिक निजी कुंजियों वाले कई समझौता किए गए वॉलेट पूर्वानुमानित पैटर्न वाले सीड वाक्यांशों का उपयोग करते हैं, जिनमें "password," "bitcoin," या "abandon" जैसे दोहराए गए शब्द शामिल हैं। सच्ची एन्ट्रॉपी की कमी वाला कोई भी गैर-यादृच्छिक पैटर्न एक निजी कुंजी को उजागर कर सकता है और स्वचालित प्रणालियों को संबंधित सार्वजनिक कुंजी में जमा को निकालने में सक्षम बना सकता है।
क्रिप्टोग्राफी विशेषज्ञों के अनुसार, घटना यह प्रदर्शित करती है कि गैर-यादृच्छिकता सरल शब्द पैटर्न से परे Bitcoin लेजर पर दर्ज सार्वजनिक जानकारी तक विस्तारित हो सकती है, जैसे ब्लॉक पुरस्कारों के लेनदेन पहचानकर्ता। निजी कुंजी उत्पन्न करते समय यांत्रिक एन्ट्रॉपी पेश करने में विफलता ब्रूट-फोर्स हमलों को सक्षम कर सकती है और धन सुरक्षा को समझौता कर सकती है।
ब्लॉकचेन सुरक्षा विश्लेषकों के अनुसार, घटना यह दर्शाती है कि लेनदेन पहचानकर्ता के माध्यम से निजी कुंजी को हैशिंग करना सुरक्षित निजी कुंजी भंडारण के लिए पर्याप्त एन्ट्रॉपी प्रदान नहीं करता है। खनिक और अन्य mempool पर्यवेक्षक गैर-यादृच्छिकता के लिए लेनदेन पहचानकर्ताओं की निगरानी कर सकते हैं और उजागर निजी कुंजियों का उपयोग करके चोरी के लेनदेन प्रसारित करने का प्रयास कर सकते हैं।
स्रोत: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
