اگر کلمات یک عبارت 12 کلمهای بازیابی یک کیف پول کریپتو لو برود، ورود به آن کیف پول و جارو کردن تمام وجوه آن، کاری بسیار آسان است.
یک معمار سیستمهای رایانه “اندرو فریزر Andrew Fraser از بوستون” ترتیب قرار گیری کلمات این عبارت اولیه را شکست و در کمتر از نیم ساعت جایزه 100000 ساتوشی یا 0.001 بیتکوین به ارزش 29 دلار را دریافت کرد. همپنین در گفتگو با فریزر، وی تاکید کرد که حفظ عبارات بذر کیف پول بیتکوین در مکانی ایمن و آفلاین چقدر حیاتی است.
عبارت Seed یا عبارت بازیابی، رشتهای از کلمات تصادفی است که هنگام ایجاد کیف پول ساخته می شوند، که در آینده میتوان به وسیله آن به داراییهای ذخیره شده در کیف پول دسترسی پیدا کرد و مشابه شاه کلید آن کیف پول عمل میکند. فریزر با استفاده از «حمله جستوجوی فراگیر» یک عبارت 12 کلمه ای را که مربی بیتکوین “Wicked Bitcoin” در توییتر به اشتراک گذاشته بود، جاگذاری درست کرد. همانطور که در توییت Wicked بیان شده بود، وی کاربران را به چالش کشید تا ترتیب صحیح این عبارت 12 کلمهای را رمزگشایی کنند.
«آیا کسی میخواهد این عبارت 12 کلمهای را برای یافتن قفل کیف پولی با 100000 ستوشی و با استفاده از «حمله جستوجوی فراگیر» پیدا کند؟ من همه 12 کلمه را بدون ترتیب خاصی به شما می گویم. گفتنی است که این قفل کیف پول با استفاده از ساختار m/84’/0’/0′ کار می کند… بدون هیچ دوزو کلکی»
باز کردن این قفل 100000 ساتوشی که کمتر از 30 دلار ارزش داشت، فقط 25 دقیقه طول کشید. این رویداد می تواند به عنوان یادآوری به موقع برای کاربران بیتکوین و علاقهمندان به ارزهای دیجیتال باشد که امنیت کریپتو را جدی بگیرند.
فریزر این کد را با استفاده از برنامه BTCrecover، که یک نرم افزار موجود در GitHub میباشد شکست. این نرمافزار طیف وسیعی از ابزارها را ارائه میدهد که میتوانند عبارات اولیه را با استفاده از یادداشتهای گمشده یا ترتیب درهم و یا ابزارهای شکست عبارت عبور بازیابی کنند. فریزر با یک پیام توییتری گفت:
“من توانستم ترتیب صحیح چالش عبارت Seed را با استفاده از پردازنده گرافیکی مخصوص بازی کامپیوتر خود در حدود 25 دقیقه پیدا کنم. اگرچه یک سیستم توانمندتر این کار را بسیار سریعتر انجام خواهد داد.”
همچنین وی خاطرنشان کرد که هر کسی که دانش اولیه در اجرای اسکریپتهای پایتون، استفاده از پوسته فرمان ویندوز و درکی از پروتکل بیتکوین – بهویژه یادداشتهای BIP39 – را دارد، باید بتواند موفقیت وی را تکرار کند.
از فریزر در مورد امنیت کلیدهای 12 کلمهای پرسش شد و وی توضیح داد: «اگر کلمات برای مهاجم ناشناخته باشد و یا از عبارت عبور «13 کلمهای» برای باز یابی کیف پول استفاده شود، می تواند کاملاً ایمن باشد. علاوه بر این، وی بر امنیت برتر کلیدهای 24 کلمهای تاکید کرد.
“حتی اگر یک مهاجم کلمات نامرتب کلید دانه 24 کلمهای شما را بداند، هرگز امیدی به کشف چیدمان صحیح کلمات را نخواهد داشت.”
فریزر بدین گونه کاربرد سختی محاسبات آنتروپی را برای ایجاد تفاوت امنیتی بین دو نوع کلیدهای اولیه بیان کرد. یک Seed 12 کلمه ای تقریبا 128 بیت حالت عدم قطعیت آنتروپی دارد، در حالی که یک دانه 24 کلمه ای دارای 256 بیت آنتروپی است. وقتی یک مهاجم کلمات نامرتب یک Seed 12 کلمه ای را می داند، تنها امکان وجود حدود نیم میلیارد ترکیب متفاوت ممکن است، که آزمایش آن با یک GPU مناسب نسبتاً آسان است. در حالی که، یک Seed 24 کلمهای امکان تقریباً 6.24 به توان 24 ترکیب متفاوت را دارد – و این یعنی تعداد زیادی صفر و زمانی دست نیافتنی برای یافتن ترتیب مناسب و دسترسی به کیف پول.
حتی احتمال شکستن یک عبارت 12 کلمهای از سوی مهاجم بی معنی است و نباید روی دهد. چیدمانهای متفاوت برای یک عبارت با 24 بذر بسیار زیاد می باشد، و همانطور که Wicked در یک بررسی پس از اتمام چالش عبارت بذر، گفت ، “این مورد هک نخواهد شد.”
در نهایت، این یک یادآوری به موقع برای خوانندگان است که اطمینان حاصل کنند که عبارات اولیه خود را هرگز به صورت آنلاین منتشر یا به اشتراک نگذارند. این بدان معناست که حتی عبارات اولیه بازیابی کیف پول نباید در یک برنامه مدیریت رمز عبور یا یک راه حل ذخیره سازی ابری ذخیره شده و مطمئناً نباید در تلفن همراه نیز تایپ شود.
فریزر همچنین بر اهمیت مخفی نگه داشتن کلیدهای دانه و استفاده از عبارت عبوری که به عنوان بخشی از مسیر دسترسی عمل می کند، تاکید کرد و اما چه آمد بر سر 100000 ستوشی که فریزر به خانه برد؟ فریزر توییت کرد “که آن شب آنها را صرف شام کردم و “مرغ مارسالا” خوردم.”
سلب مسئولیت: این مقاله فقط برای اهداف اطلاعاتی ارائه شده است و توصیه نمی شود به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا سایر موارد مورد استفاده قرار گیرد.