Carteiras de Bitcoin “Brain Wallets” são muito perigosas, aponta BitMEX
Apesar de ser apontada como uma forma segura para as pessoas armazenarem Bitcoin, a BitMEX Research mostrou a fraqueza de confiar nas chamadas “Brain Wallets”.
Eles concluíram que derivar chaves privadas de frases com hash usando referências de cultura popular não é adequado para armazenamento seguro. Entre eles estavam o white paper Bitcoin, literatura clássica e letras de músicas populares.
“Brain Wallets” da cultura pop vencidas em segundos
Uma qualidade muito elogiada do Bitcoin é sua inconfiscibilidade. Aqueles que defendem a moeda digital geralmente afirmam que um usuário não pode usar nada além de sua própria mente para armazenar a criptomoeda de uma forma que não forneça pistas sobre a propriedade do BTC.
A simples lembrança de uma chave privada, frase-semente pneumônica ou dados para derivar uma chave privada apenas na cabeça é conhecida como carteira cerebral. Muitos proponentes do Bitcoin argumentam que esse método de armazenamento pode fornecer segurança financeira para pessoas vulneráveis em todo o mundo – particularmente, refugiados.
O problema, entretanto, é que uma chave privada (essencialmente uma longa sequência de letras e números) não é o tipo de coisa que os humanos são bons em lembrar. Uma frase-semente (lista de 12 ou 24 palavras aleatórias) é um pouco mais fácil, mas ainda não é perfeita. Escrever a chave ou frase ou armazená-la digitalmente convida ao risco de confisco.
Uma solução potencial é derivar uma chave privada de um texto existente. Uma letra de música favorita ou introdução a uma obra popular de ficção, quando hash usando SHA-256, fornece o que, à primeira vista, pode parecer uma chave privada forte.
Quando um indivíduo precisa usar seu Bitcoin, ele pode criptografar o texto novamente, encontrar sua chave privada e fazer uma transação. No entanto, um estudo da BitMEX Research mostrou que as chaves privadas formadas dessa forma são na verdade incrivelmente fracas.
Em um caso, demorou cerca de dois terços de um segundo para varrer fundos de uma Brain Wallets derivada de uma obra popular de ficção.
Call me Ishmael
8 Bitcoin brainwallets were created, using passphrases from popular works of fiction. All the funds were quickly swept away & in one case the funds were taken in 0.67 seconds
If you need to use a brainwallet, don’t choose anything poetichttps://t.co/wIM9M6vm1W pic.twitter.com/7m6748rzyj
— BitMEX Research (@BitMEXResearch) October 13, 2020
Players maliciosos antecipam as chaves privadas
O estudo do BitMEX Research envolveu a criação de oito chaves privadas de Bitcoin . Cada um usou o hash de uma referência de cultura popular para chegar à sua chave privada.
O pesquisador formou as carteiras usando hashes de nomes como Moby Dick de Herman Melville, a letra do refrão de “Blowin ‘in the Wind” de Bob Dylan, uma passagem da Bíblia e até mesmo uma citação do Whitepaper do BTC.
Cada uma das carteiras recebeu 0,005 BTC para testar sua segurança. Todos os fundos desapareceram rapidamente.
A mais fraca das chaves privadas foi derivada do início de Moby Dick . O hash da famosa linha de abertura “Call me Ishmael” levou apenas 0,67 segundos para ser varrido.
Duas outras carteiras também foram esvaziadas antes mesmo de o blockchain confirmar a transação de depósito. As cinco carteiras restantes levaram menos de um dia para serem completamente limpas.
A análise mostrou que as transações que varriam as carteiras usavam taxas muito altas em relação ao custo médio de transação. O pesquisador sugeriu que quem estava por trás da varredura sabia da tentativa de outros “ hackers ” tentando pegar os fundos usando métodos semelhantes. Eles, portanto, aumentaram sua própria taxa para garantir que sua transação fosse bem-sucedida.
A velocidade com que os fundos desapareceram das Brain Wallets sugere a existência de servidores constantemente varrendo a rede em busca de carteiras fracas.
O pesquisador argumenta que os responsáveis pelo ataque contam com uma vasta lista de chaves privadas derivadas da cultura popular armazenadas em um banco de dados. É então simplesmente uma questão de testá-los com as carteiras que aparecem no pool de memória de transações do Bitcoin.
As Brain Wallets são inúteis?
O estudo da BitMEX conclui que o uso de texto não modificado da cultura popular é um método muito pobre de geração de uma chave privada. No entanto, ele cita uma experiência semelhante que não resultou em perda de fundos.
Carteiras com chaves privadas derivadas de romances best-sellers que usam “um padrão razoavelmente óbvio” permanecem inalteradas mais de um ano após a criação.
Eles identificaram que a diferença entre os dois experimentos é que o mais recente utilizou “texto não modificado” de livros. Eles, entretanto, afirmam que tal método ainda não deve ser considerado absolutamente seguro.
Dito isso, a introdução da aleatoriedade adicional, quando empregada por alguém com um conhecimento sólido dos riscos e da maneira como os hackers operam, pode permitir a criação de uma Brain Wallet segura derivada de referências da cultura pop.
Combinações de fontes de texto, usadas com dados pessoais como datas de nascimento e caracteres aleatórios adicionais, podem resultar em uma carteira mais segura.
O pesquisador conclui:
“… se você precisa usar um brainwallet, com base nos dados deste relatório, não escolha nada simples ou poético. Eu descobri da maneira mais difícil. ”
O artigo Carteiras de Bitcoin “Brain Wallets” são muito perigosas, aponta BitMEX foi visto pela primeira vez em BeInCrypto.