Пользователь Reddit стал последним примером того, почему пользователям криптовалют следует быть более осторожными при использовании генераторов кошельков - после того, как он потерял несколько тысяч долларов биткоина (BTC) из своего "безопасного" бумажного кошелька.
24 июля участник Reddit под ником /jdmcnair разместил на сабреддите r/Bitcoin сообщение с просьбой объяснить, как хакеру удалось похитить из якобы защищенного бумажного кошелька биткоин на сумму более $3 000, который даже был создан на автономном компьютере.
"Я занимался самоохраной, сгенерировал свой ключ и распечатал его на бумаге на автономном компьютере, перевел свои BTC на этот автономный кошелек и хранил его в сейфе, ключ от которого есть только у меня", - написал пользователь.
"Я думал, что храню его одним из самых надежных способов".
В обновлении к своему первоначальному сообщению участник Redditor сообщил, что для создания закрытых ключей кошелька он использовал инструмент walletgenerator.net, который, как отмечают некоторые пользователи, в прошлом был известен своими уязвимостями.
В беседе с Cointelegraph директор по безопасности компании CertiKs Хью Брукс заявил, что пользователям следует дважды подумать, прежде чем использовать генератор криптовалютных кошельков.
По словам Брукса, такие генераторы онлайновых кошельков уже давно служат эффективным инструментом взлома:
"Некоторые из этих генераторов кошельков могут быть откровенным мошенничеством. На сайте, о котором говорится в сообщении, указан IP-адрес в России. Если посмотреть на такой инструмент, как Criminal IP, то можно увидеть, что на этот адрес подано несколько сообщений о злоупотреблениях".
О том, что генераторы бумажных кошельков содержат серьезные уязвимости, известно с 2019 года, отметил Брукс, добавив, что если кто-то создавал кошельки с помощью сайта walletgenerator.net, то, скорее всего, "одни и те же ключи были переданы разным пользователям".
Эксплойт для генератора кошельков Profanity стал хрестоматийным примером такой уязвимости, которая привела к взлому алгоритмического маркет-мейкера Wintermute на 160 млн. долл. в сентябре.
Решение, по мнению Брукса, простое. Пользователи, желающие обеспечить безопасное хранение криптовалют, должны использовать "надежных поставщиков аппаратных кошельков, таких как Ledger и Trezor".
Участник Redditor был озадачен тем, почему эксплуататор ждал более 12 месяцев, чтобы воспользоваться средствами, что побудило другого участника предложить возможное объяснение.
"[Хакеры] выжидают, пока достаточное количество новичков решит, что они сгенерировали надежные закрытые ключи, ждут, пока они внесут значительные суммы, а затем, в один прекрасный день, уводят все средства, чтобы не было времени реагировать на сообщения о взломе сайта".
В связи с внезапным увеличением числа давно не работающих кошельков Bitcoin, многие из которых содержат миллионные суммы, некоторые эксперты считают, что это связано со взломом генераторов кошельков.
Непопулярное мнение о криптовалютах: тот факт, что генераторы кошельков могут быть взломаны, а люди могут потерять свои средства без каких-либо средств защиты, просто ужасает. Я собираюсь рассказать вам о том, что я считаю выходом, и я знаю, что команда "сделаем все децентрализованным" будет ненавидеть это
- Джесси Хайнс (@jesse_hynes) 25 апреля 2023 г.
По данным компании CertiK, во II квартале 2023 г. хакерам удалось похитить более 300 млн. долларов, что на 58% меньше, чем за аналогичный период прошлого года.
Журнал: $3,4 млрд биткойнов в жестянке из-под попкорна - история хакера Silk Road
Источник
