What security? Bitcoin enthusiast cracks known 12-word seed phrase in minutes

چه امنیتی؟ در عرض چند دقیقه گذرواژه ۱۲ کلمه ای ورود به کیف پول شکسته شد!

اگر کلمات یک عبارت 12 کلمه‌ای بازیابی یک کیف پول کریپتو لو برود، ورود به آن کیف پول و جارو کردن تمام وجوه آن، کاری بسیار آسان است.

یک معمار سیستمهای رایانه “اندرو فریزر Andrew Fraser از بوستون” ترتیب قرار گیری کلمات این عبارت اولیه را شکست و در کمتر از نیم ساعت جایزه 100000 ساتوشی یا 0.001 بیتکوین به ارزش 29 دلار را دریافت کرد. همپنین در گفتگو با فریزر، وی تاکید کرد که حفظ عبارات بذر کیف پول بیتکوین در مکانی ایمن و آفلاین چقدر حیاتی است.

عبارت Seed یا عبارت بازیابی، رشته‌ای از کلمات تصادفی است که هنگام ایجاد کیف پول ساخته می شوند، که در آینده می‌توان به وسیله آن به دارایی‎های ذخیره شده در کیف پول دسترسی پیدا کرد و مشابه شاه کلید آن کیف پول عمل می‌کند. فریزر با استفاده از «حمله جست‌وجوی فراگیر» یک عبارت 12 کلمه ای را که مربی بیتکوین “Wicked Bitcoin” در توییتر به اشتراک گذاشته بود، جاگذاری درست کرد. همانطور که در توییت Wicked بیان شده بود، وی کاربران را به چالش کشید تا ترتیب صحیح این عبارت 12 کلمه‌ای را رمزگشایی کنند.

«آیا کسی می‌خواهد این عبارت 12 کلمه‌ای را برای یافتن قفل کیف پولی با 100000 ستوشی و با استفاده از «حمله جست‌وجوی فراگیر» پیدا کند؟ من همه 12 کلمه را بدون ترتیب خاصی به شما می گویم. گفتنی است که این قفل کیف پول با استفاده از ساختار m/84’/0’/0′ کار می کند… بدون هیچ دوزو کلکی»

باز کردن این قفل 100000 ساتوشی که کمتر از 30 دلار ارزش داشت، فقط 25 دقیقه طول کشید. این رویداد می تواند به عنوان یادآوری به موقع برای کاربران بیتکوین و علاقه‌مندان به ارزهای دیجیتال باشد که امنیت کریپتو را جدی بگیرند.

فریزر این کد را با استفاده از برنامه BTCrecover، که یک نرم افزار موجود در GitHub می‌باشد شکست. این نرم‌افزار طیف وسیعی از ابزارها را ارائه می‌دهد که می‌توانند عبارات اولیه را با استفاده از یادداشت‌های گمشده یا ترتیب درهم و یا ابزارهای شکست عبارت عبور بازیابی کنند. فریزر با یک پیام توییتری گفت:

“من توانستم ترتیب صحیح چالش عبارت Seed را با استفاده از پردازنده گرافیکی مخصوص بازی کامپیوتر خود در حدود 25 دقیقه پیدا کنم. اگرچه یک سیستم توانمندتر این کار را بسیار سریعتر انجام خواهد داد.”

همچنین وی خاطرنشان کرد که هر کسی که دانش اولیه در اجرای اسکریپت‌های پایتون، استفاده از پوسته فرمان ویندوز و درکی از پروتکل بیتکوین – به‌ویژه یادداشت‌های BIP39 – را دارد، باید بتواند موفقیت وی را تکرار کند.

از فریزر در مورد امنیت کلیدهای 12 کلمه‌‌ای پرسش شد و وی توضیح داد: «اگر کلمات برای مهاجم ناشناخته باشد و یا از عبارت عبور «13 کلمه‌ای» برای باز یابی کیف پول استفاده شود، می تواند کاملاً ایمن باشد. علاوه بر این، وی بر امنیت برتر کلیدهای 24 کلمه‌ای تاکید کرد.

“حتی اگر یک مهاجم کلمات نامرتب کلید دانه 24 کلمه‌ای شما را بداند، هرگز امیدی به کشف چیدمان صحیح کلمات را نخواهد داشت.”

فریزر بدین گونه کاربرد سختی محاسبات آنتروپی را برای ایجاد تفاوت امنیتی بین دو نوع کلیدهای اولیه بیان کرد. یک Seed 12 کلمه ای تقریبا 128 بیت حالت عدم قطعیت آنتروپی دارد، در حالی که یک دانه 24 کلمه ای دارای 256 بیت آنتروپی است. وقتی یک مهاجم کلمات نامرتب یک Seed 12 کلمه ای را می داند، تنها امکان وجود حدود نیم میلیارد ترکیب متفاوت ممکن است، که آزمایش آن با یک GPU مناسب نسبتاً آسان است. در حالی که، یک Seed 24 کلمه‌ای امکان تقریباً 6.24 به توان 24 ترکیب متفاوت را دارد – و این یعنی تعداد زیادی صفر و زمانی دست نیافتنی برای یافتن ترتیب مناسب و دسترسی به کیف پول.

حتی احتمال شکستن یک عبارت 12 کلمه‌ای از سوی مهاجم بی معنی است و نباید روی دهد. چیدمانهای متفاوت برای یک عبارت با 24 بذر بسیار زیاد می باشد، و همانطور که Wicked در یک بررسی پس از اتمام چالش عبارت بذر، گفت ، “این مورد هک نخواهد شد.”

در نهایت، این یک یادآوری به موقع برای خوانندگان است که اطمینان حاصل کنند که عبارات اولیه خود را هرگز به صورت آنلاین منتشر یا به اشتراک نگذارند. این بدان معناست که حتی عبارات اولیه بازیابی کیف پول نباید در یک برنامه مدیریت رمز عبور یا یک راه حل ذخیره سازی ابری ذخیره شده و مطمئناً نباید در تلفن همراه نیز تایپ شود.

فریزر همچنین بر اهمیت مخفی نگه داشتن کلیدهای دانه و استفاده از عبارت عبوری که به عنوان بخشی از مسیر دسترسی عمل می کند، تاکید کرد و اما چه آمد بر سر 100000 ستوشی که فریزر به خانه برد؟ فریزر توییت کرد “که آن شب آنها را صرف شام کردم و “مرغ مارسالا” خوردم.”

سلب مسئولیت: این مقاله فقط برای اهداف اطلاعاتی ارائه شده است و توصیه نمی شود به عنوان مشاوره حقوقی، مالیاتی، سرمایه گذاری، مالی یا سایر موارد مورد استفاده قرار گیرد.

Click for reference