A Blockchain Bandita milliárdokat lopott össze, aztán összeomlott a piac

A Blockchain Bandita milliárdokat lopott össze, aztán összeomlott a piac
A blockchain adattömböket nyilvántartó internetes rendszere a teljes hitelességet és követhetőséget igyekszik elérni központi felügyeleti szerv nélkül. Ennek egyik hátulütőjét nemrég fedezték fel, amikor egy amerikai biztonsági cég rátalált a Blockchain Banditára, aki annyi Ethereumot halászott össze a gyanútlan felhasználóktól, ami az árfolyam csúcspontján 15 milliárd forintot ért.

Habár tíz éve indult a kereskedés a bitcoinnal, az elmúlt években vált csak igazán központi témává. Ugyan a kezdetekkor még 200 forintot sem ért, a csúcson, 2017 karácsonyán egy bitcoint több, mint 5 millió forintért lehetett venni, írja cikkében az Index. Ma már csupán másfél millió forint darabja.

A bitcoin népszerűségén és korai szárnyalásán felbuzdulva sorra jöttek az újabb és újabb kriptovaluták, mint például az Ethereum, ami hasonló, bár valamivel diszkrétebb ívet járt be. Ugyan a 2017-2018-as csúcshoz képest jelentősen zuhant a kriptovaluták értéke, de még mindig kifizetődő a kriptobűnözés.

Egyre több üres virtuális pénztárca került elő

A Wired írt Adrian Bednarekről, egy amerikai biztonsági tanácsadóról, aki egy kliense kérésére sérülékenységeket keresett az Ethereum kulcsrendszerén. Az Ethereum-kereskedéshez a felhasználónak szüksége van egy virtuális pénztárcára, amihez kap egy nyilvános kulcsot (egy hosszú betű-szám kombináció, gyakorlatilag olyan, mint egy bankszámlaszám), valamint egy privát kulcsot (szintén hosszú számsor, ami a tranzakciók engedélyezésére szolgál). Bednarekben felmerült, hogy előfordulhat, hogy néhány felhasználó az "12345" jelszó Ethereum privát kulcs-megfelelőjével védi a tárcáját, ami komoly biztonsági kockázatot jelent.

A gyanú megalapozottnak bizonyult: megtalálta a kódhoz tartozó tárcát, ami valamikor még pénzt is tartalmazott, melyet feltehetőleg elhalászott valaki, aki szintén rátalált a kiskapura. A sikeren felbuzdulva kipróbált hasonlóan egyszerű kombinációkat, és minddel kiürített fiókokat talált. Az Independent Security Evaluators-zös (ISE) kollégáival írtak egy szoftvert, amivel több milliárd kulcsot generáltak és próbáltak ki.

Pofonegyszerű privát kulcsok

A kedden kiadott tanulmányuk szerint arra jutottak, hogy több száz felhasználó privát kulcsa könnyen kitalálható, és ezt egy Ethereum-fiók birtokosa már ki is használta. Őt nevezték el Blockchain Banditának, aki (vagy akik) az ISE kutatása szerint csak a vizsgált, gyenge biztonságú fiókok közül 12-ről húzott le Ethereumot. A Bandita számláján 45 ezres gyűjteményt találtak, ami átszámítva 15 milliárd forintot ért a valuta csúcspontján. A mai árfolyamon kb. 2,2 milliárd forint az értéke.

Ugyanazzal próbálkozott, mint mi, csak sokkal lelkesebb volt - mondta Bednarek a Wirednek. Bednarek szerint számos oka lehet a kulcsok gyengeségének. Előfordulhat, hogy a kulcs generálásakor a pénztárca egy hiba miatt rövidebb kódot állít ki, vagy akár a pénztárca fejlesztője is elrejthetett kártékony elemeket a kulcsgenerátor program kódjában, hogy később könnyebben feltörhesse a fiókokat. Persze azt sem lehet kizárni, hogy néhány felhasználó magának írta a kulcsot, ami emiatt gyengébbre sikerült.

Több tolvajnak is volt hozzáférése

Hogy tesztelje az elméletét, Bednarek rárakott 1 dollárnyi Ethereumot egy gyenge kulcsú számlára, amit pillanatokon belül le is nyúlt a Bandita. Ezek után feltett 1 dollárt egy másik, hasonló fiókra, amelyről megint azonnal eltűnt a pénz, de ezúttal egy másik tolvaj számlájára került. A függő tranzakciók listáján látta, hogy a kisebb hal töredék másodpercekkel volt csak gyorsabb, mint a Bandita. Ezekből az információkból arra következtet, hogy több tolvaj is rendelkezik listákkal, amiket folyton próbálgatnak, emberfeletti sebességgel, automatizált programok segítségével.

A Bandita fiókját megfigyelve feltűnik, hogy csak a számlájára történt utalás, a számláról kifelé soha. A tolvaj felhalmozott egy vagyont, amit azonnal elveszített, ahogy összeomlott a piac - foglalta össze a helyzetet a biztonsági szakértő.

Ugyan valóban az igazság helyreállásának tűnhet, hogy a tolvaj elvesztette zsákmánya értékének nagy részét, de ne feledjük, még így is 2,2 milliárd forintnyi Ethereum ül a szegény Bandita számláján. Mivel az egész blockchain rendszer lényege az, hogy nincs felügyelő szerv, tulajdonképpen panasztételre sincs lehetőség. Ha a kriptovaluta elhagyta a számlánkat, senki nem tudja törölni a tranzakciót. Talán ez is hozzájárult a tavalyi értékzuhanáshoz.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!