Злоумышленники украли ETH на $54 млн (уже $7,8 млн), угадав слабые приватные ключи

Злоумышленники вывели из криптокошельков своих жертв около 45 тысяч ETH, просто угадывая слабые личные ключи, пишет Cointelegraph со ссылкой на специалистов по кибербезопасности Independent Security Evaluators.

По рассказу старшего аналитика Адриана Бедарека, пропажу криптовалюты обнаружили случайно. Исследователи нашли 732 слабых ключа, которые позволяли им проводить транзакции, как если бы они были владелицами аккаунтов. Вместо перебора случайных личных ключей, наряду с поиском неисправного кода исследователи использовали генераторы случайных чисел.

Далее они заметили, что по некоторым кошелькам, связанным с этими ключами, было большое количество денежных переводов на один и тот же адрес — одного злоумышленника или группы — без возврата.

Согласно исследователям, деньги крали с помощью 12 из 732 обнаруженных специалистами ключей, к которым злоумышленники имели доступ. Статистически, угадать их случайно невозможно, поэтому предполагается, что активы крали сразу, как только они поступали в кошельки жертв.

На январь 2018 года баланс адреса злоумышленников составлял около 38 тысяч монет — на пике стоимости Ethereum сумма «добычи» равнялась более $54 млн. На момент выхода статьи состояние грабителя составило бы примерно $7,8 млн.

Приватные ключи могли быть уязвимы из-за ошибок в коде программ для их генерирования, операционных системах, устройствах или же из-за беспечности владельцев крипты, которые не уделяли достаточно внимания надёжности идентификационных фраз.

Личность злоумышленника неизвестна. По предположению Беднарека, за этим может стоять даже государство, например Северная Корея, которую ранее уличили в краже денег и криптовалют на сумму в $670 млн.