Ein Dieb hat schwache Private Keys erraten und 45.000 ETH gestohlen

Laut einem Bericht hat ein Blockchain-Bandit fast 45.000 Ether (ETH) angehäuft, indem er schwache Private Keys erfolgreich „erraten“ hat.

Die Wahrscheinlichkeit einen Private Key zu erraten ist statistisch unwahrscheinlich. Denn es gibt mehr Möglichkeiten eine Kombination von Private Keys auszuwählen, als Atome auf der Erde. Das Sicherheitsunternehmen Independent Security Evaluators (ISE) zeigte jedoch, dass dies mit einer bestimmten Herangehensweise trotzdem möglich ist.

Lies auch: Was ist ein Private Key bzw. Seed?

In einer Forschung ist es dem ISE-Sicherheitsanalytiker Adrian Bednarek gelungen, 735 Private Keys aufzudecken, sodass er Transaktionen hätte abschließen können, als wäre er der Kontoinhaber. Laut Bericht hat er aber nicht willkürlich nach irgendwelchen Private Keys gesucht, sondern stattdessen nach fehlerhaftem Code und fehlerhaften Zufallsgeneratoren Ausschau gehalten.

Inmitten seiner Forschung fiel ihm zufällig auf, dass mehrere Wallets, die mit den gefundenen Private Keys verbunden waren, jede Menge Transaktionen hatten, die seltsamerweise allesamt an eine einzige Adresse gingen, ohne, dass Geld herauskam. Dies war der Moment, als er auf den raffinierten Hacker aufmerksam wurde.

Bednarek sagte:

Da war ein Typ, der eine Adresse hatte, der herumging und im Grunde genommen Geld von einigen der Keys abzog, zu denen wir Zugang hatten. Wir fanden 735 Private Keys. Er nahm zufällig Geld von 12 dieser Keys, zu denen wir auch Zugang hatten. Es ist statistisch unwahrscheinlich, dass er diese Keys zufällig erraten hat, also hat er wahrscheinlich das Gleiche getan wie wir.

Der Dieb stahl im Grunde genommen Geld, sobald es in die Wallet der Leute kam, fügte Bednarek hinzu. Der Blockchain Bandit hält zum Zeitpunkt des Schreibens 44.744 ETH, was ca. 7,8 Millionen USD entspricht.

Wie Bednarek sagte, können die Private Keys aufgrund von Kodierungsfehlern in der Software, die für die Generierung von Private Keys verantwortlich ist, anfällig gewesen sein. Es kann aber auch sein, dass Nutzer schwache oder sogar leere Passphrasen wie „abc123“ zum Herstellen ihrer Private Keys verwenden und folglich identische Private Keys entstehen.


Nachrichtenquelle:
cointelegraph.com

Bildquellen:
#252871393 – © spyarm / Fotolia.com – Titelbild

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein