Взломать биткоин? Трудно, но все-таки возможно
Поделиться
До недавнего времени все взломы, кражи и скамы в сфере криптовалют, так или иначе, были связаны с уязвимостью инфраструктуры — криптовалютных бирж, кошельков и сервисов. Но что будет, если взломают защиту основы основ — блокчейна биткоина.
По словам главы криптовалютной биржи Coinbase, Брайана Армстронга, вероятность, что кто-то найдет математическую уязвимость в системе криптографии в основе блокчейне биткоина, крайне мала, но риск все-таки есть. Более того, Филип Мартина, главы отдела безопасности в Coinbase, считает, что проблема куда серьезнее. [Forbes]
«Математическая уязвимость? В этом случае развал биткоина — это последнее, что будет нас беспокоить. Речь идет о цифровом апокалипсисе и коллапсе всего интернета», — уверен Мартин.
Дело в том, что шифрование лежит в основе всех цифровых процессов, протекающих в интернете. Триллионы долларов ежедневно текут по электронным сетям, защищенным шифрованием. Поэтому, если хакеры найдут уязвимость в системе шифрования, проблема окажется значительно глубже, чем воровство цифровых активов (совокупная рыночная капитализация всех криптовалют в обращении на момент написания статьи составляет 284 млрд долларов).
Итак, какие факторы риска могут оказаться фатальными для биткоина.
Ошибка в реализации
Биткоин основан на принципах эллиптической криптографии (ECC). До настоящего времени никому не удавалось найти уязвимость в исходном коде первой криптомонеты, однако, обойти эту защиту на самом деле не так уж и трудно. Японская корпорация Sony и американская Microsoft знают об этом не понаслышке. Обе компании пострадали, потому что хакеры нашли лазейки в реализации системы защиты с использованием ЕСС. Например, чтобы бесплатно играть в игры на PlayStation, достаточно было знать два валидных кода и немного алгебры на уровне старших классов средней школы.
Биткоин безуспешно пытаются взломать уже 11 лет, но нет никаких гарантий, что рано или поздно кто-то не наткнется на уязвимость в коде.
Человеческий фактор
На самом деле, чтобы украсть у кого-то биткоины, можно вообще не знать алгебру и даже не помнить таблицу умножения. Достаточно обладать даром убеждения и лгать без зазрения совести. По словам Джейми Армстеда, вице-президента банковского консорциума, управляющего платежной сетью Zelle, его беспокоят не хакерские атаки, а фишинг.
Например, фальшивые электронные письма на почту корпоративного казначея, или голосовые команды, позволяющие получить контроль над вашим устройством. Не говоря уже об угрозах перехвата сообщений на пути от отправителя к получателю. Специалисты в области кибербезопасности постоянно работают над улучшением протоколов коммуникации, но они все равно остаются слабым звеном.
Может ли какая-нибудь масштабная дезинформация заставить большинство нод в сети биткоин одновременно совершить фатальную ошибку? Тут нужен какой-то очень хитроумный обман, но потенциально такое возможно.
Высшая математика
Методы шифрования в целом выглядят надежными и достаточно хорошо изученными. Однако нужно понимать, что это не доказанная надежностью. Не исключено, что кто-то может найти частный случай, который разрушит всю стройную картину.
Простой пример: французский математик Ферма сделал простое предположение относительно экспонент двух чисел, которое казалось правильным, но было недоказуемым. Три сотни лет люди безуспешно пытались доказать его. И вот не так давно это удалось — отчасти благодаря эллиптическим кривым.
Квантовые компьютеры
Квантовые компьютеры теоретически способны сократить время, необходимое на дешифровку кода, с миллиардов лет до часов. В октябре прошлого года Google посеял панику среди криптографов, заявив о достижении квантового превосходства: экспериментальному устройству за 200 секунд выполнить вычисления, на которые у обычного компьютера ушли был 10 тыс. лет. Эксперты IBM утверждают, что Google мастер на квантовые преувеличения. Но как бы там ни было вектор движения понятен. Не исключено, что лет через десять то, что сейчас возможно лишь в теории, станет реальностью.
Все время с момента создания биткоина криптовалютная отрасль подвергалась нападкам хакеров, скаммеров, мошенников всех сортов и мастей. В будущем ничего не изменится — биржи будут взламываться, люди будут обманываться, системы защиты ломаться. Вероятность большого коллапса, способного разрушить всю систему, невелика. И тем не менее она существует.
Как взломать Биткоин-кошелек: варианты и способы
Взлом Биткоин-кошельков — историческая справка
В Сети можно встретить множество споров, касающихся взлома бумажников Bitcoin. Итогом дискуссии, как правило, становится выделение двух основных способов — путём получения доступа к ПК владельца виртуальных монет, через подбор ключей (с помощью личных данных пользователя).
В первом случае вина лежит полностью на владельце Биткоинов, который не защитил должным образом компьютер и позволил злоумышленникам украсть личные данные с помощью вируса или червя. Что касается второго способа, для его реализации нужен софт для взлома Биткоин-кошельков и определённые знания о криптовалютах.
Если приводить случаи из истории, за время существования Bitcoin произошло много резонансных событий. Вот только некоторые них:
Кража криптовалюты произошла следующим образом. Злоумышленник был модератором группы о взломах обменников криптовалюты, публиковал новости о способах краж и путях защиты от обмана. Один из пользователей добавился в группу и при прочтении очередной новости загрузил приложение, создающее новый адрес для бумажника Bitcoin. В результате все монеты со счёта были украдены.
Со временем полиции удалось поймать злоумышленника. Им оказался программист, который взломал кошелек Bitcoin и написал специальный софт, передающий создателю имя и пароль пользователя. Для отправки информации достаточно загрузить программу на ПК и отправить монеты. Всего преступнику удалось совершить три кражи на сумму около 3 миллионов долларов.
Большинство случаев взлома касается криптовалютных бирж, но это не говорит о «слабости» самого Bitcoin. Речь идет о получении доступа к хранилищу с личными ключами пользователей, не более. Криптовалютная сеть, в свою очередь, не отвечает за безответственное хранение адресов Биткоин (это прерогатива владельцев). Иными словами, ситуации со взломом криптовалютных бирж или иных сервисов для хранения личных ключей нельзя сопоставлять со слабой защитой Биткоин-кошелька или системы блокчейн.
Можно ли взломать Биткоин-кошелек из уязвимости криптовалюты?
Несмотря на надежность системы Bitcoin, в ней имеется ряд уязвимостей (слабых мест), которыми могут воспользоваться злоумышленники. К главным проблемам можно отнести:
Приватный ключ — «слабое звено»
Виртуальные монеты Биткоин — общедоступный реестр блокчейн, в котором хранятся сведения обо всех проведённых операциях в сети. Это значит, что от владельца Bitcoin требуется лишь наличие персонального ключа, который можно держать на разных носителях информации (жестком диске, флешке, бумаге и так далее).
Как правило, мошенникам не интересны бумажники пользователей, где хранится небольшой объём криптовалюты. Они ориентируются на площадки с огромным числом личных ключей, открывающих доступ к десяткам тысяч Bitcoin. Чтобы определить жертву, хакеры принимают меры для получения персональных ключей. Для этого используются стандартные методы — вирусы, подставные сервисы, фишинговые сайты, специальные программы и так далее. Как только у злоумышленника в руках оказывается персональный ключ, работа сделана.
Программы для взлома Биткоин-кошелька — миф или реальность?
На криптофорумах и тематических площадках часто ведутся дискуссии о наличии программ для взлома Биткоин-кошелька и их эффективности. Предположительно, такой софт выполняет действия, направленные на кражу криптовалюты с бумажников других пользователей. Несмотря на сложность реализации идеи, количество подобных программ в Сети зашкаливает. Они носят разные названия, но суть остаётся неизменной (пример — BitCoin Cracker).
Специальный софт может распространяться бесплатно или предлагаться за деньги. Одновременно с программами появляются и специальные сервисы, якобы позволяющие «генерировать» Биткоины после внесения определённой суммы. В результате после отправки указанных средств пользователь остается ни с чем.
Второй вариант программ для взлома ориентирован на поиск слабых мест в коде. Человеку достаточно скачать, установить и запустить программу, после чего она самостоятельно «собирает» Биткоины. Эксперты уверяют, что подобны софт — обман. Он не сможет выполнять заявленные функции даже в теории. К примеру, разработчики упомянутой выше программы уверяют, что пользователь может получить до 3,5 монет за 10 минут. Параллельно с этим они предупреждают, что частое применение софта опасно и чревато последствиями. Несложно догадаться, что такая «генерация» криптовалюты невозможна.
Программа Atrax
Тот факт, что Интернет переполнен обманными приложениями, не исключает наличие реально действующих программ. Недавно в Сети обнаружено новое приложение под названием Atrax. Его задача — оказание помощи злоумышленникам в краже Биткоинов с бумажников пользователей. Программа обнаружена на многих форумах, а сами разработчики продвигают платно по цене 250$.
Особенность Atrax заключается в том, что она разработана для использования вместе с браузером ТОР, что позволяет защитить реальное имя преступника от правоохранительных органов. Покупкой «голой» программы все не ограничивается. При желании человек может приобрести и инсталлировать плагины с дополнительным функционалом. Их назначение может быть различным — организация ДДОС-атак, поиск Bitcoin для кражи, сбор сведений о владельца Биткоинов и так далее.
Перед тем, как взломать Биткоин-кошелек, пользователь устанавливает Atrax и дополнительный плагин «Для грабителя» (стоимость последнего составляет 110$). Задача программы заключается в определении вспомогательного пароля, указанного владельцем бумажника. Еще один плагин помогает отслеживать ПК владельцев определенной суммы криптовалюты. Такой инструмент обойдется в 150$. При желании можно купить и доставить приложение для ДДОС-атак, которое обойдется в 90–100 долларов. Софт для получения доступа к аккаунтам обходится в большую сумму — до трехсот долларов.
Программа Atrax уже использована на практике. С помощью DDoS-атаки на один из серверов хакерам удалось украсть криптовалюты на сумму около миллиона долларов.
Brainflayer
Ещё одна программа для кражи Биткоинов — Brainflayer. Известно, что для хранения криптовалюты часто используется кодовая фраза (brainwallet), которая хранится в памяти владельца виртуальных денег. Человек запоминает набор слов, что позволяет держать огромное состояние «у себя в голове» без необходимости хранения данных на ПК. Проведенные недавно исследования показали, что такой способ защиты имеет уязвимость.
Адрес Bitcoin фиксируется в blockchain в качестве хэша приватного ключа (формируется на базе пароля). В случае применения аутентификации упомянутый хэш помогает выявить набор слов, а в дальнейшем сравнить их с подлинной фразой. Следовательно, такие сведения могут применяться злоумышленниками, которые находятся в поисках пароля.
Программа Brainflayer как раз и предназначена для поиска этой информации. Она способна перебирать больше 130 тысяч паролей ежесекундно. Если запустить софт на более мощной машине (для этого можно взять в аренду облако), эффективность работы повышается в 350 тысяч раз. Создатель программы уверяет, что его разработка способна изучить каждый адрес криптовалютной сети в течение суток.
Плюс в том, что разработчиком программы является «белый» хакер, который не планирует использовать разработку для личной выгоды. Он создал программу, чтобы доказать факт наличия уязвимостей и необходимость принятия мер для защиты сбережений пользователей. Программа создана ещё в 2013 году, и уже при первом запуске ей удалось собрать 250 Биткоинов. Впоследствии разработчик связался с владельцем криптовалюты и вернул деньги.
Технология имеет большое будущее. Создатель программы Райан Кастеллуччи (Ryan Castellucci) уверяет, что при запуске софта на ботнете число перебираемых фраз приближается к ста миллиардам. Чтобы защитить Биткоины от кражи, рекомендуется использовать случайный набор букв и цифр, а лучше применять diceware, используемый для создания пароля генератор случайных чисел.
«Биткоин-коллайдер»
Недавно в Сети появилась группа лиц, которая утверждает, что может красть Bitcoin с помощью вычислительных мощностей. Результат достигается в результате подбора приватных ключей. Выше мы отмечали, что вероятность такого подбора крайне низка и стремится к нулю. В свою очередь, представители группы уверяют, что используют для решения задачи распределённую сеть, то есть большое число ПК пользователей. Чтобы стать участником, достаточно установить специальную программу и подключиться к процессу.
Создатель проекта заявляет, что за время работы удалось получить больше 300 квадриллионов личных ключей. Около 30 из них подошли, но только на трёх бумажниках была криптовалюта. Еще одна цель проекта — поиск криптографической коллизии, что несет риски для алгоритмов хэширования.
Существует мнение, что реальная задача организации заключается в поиске потерянных Биткоинов, которые созданы до 2012 года, но так и не попали в общий оборот. Итоговая сумма «потерянных» Bitcoin составляет несколько миллиардов долларов.
Распространенные способы кражи Bitcoin
Рассматривая вопрос, как взломать Биткоин-кошелек в 2018 году, выделяются следующие способы (они наиболее распространены):
Видео о способе кражи Биткоинов с кошелька blockchain.info:
Насколько реален взлом Биткоина?
Небольшой экскурс в мир открытых кодов, смарт-контрактов и… уязвимостей.
Можно ли взломать биткоин? Любое программное обеспечение можно взломать, но в этом нет ничего плохого — взломы лишь усиливают безопасность криптовалют, ведь все, что не убивает нас, делает нас сильнее, так?
Безопасность биткоина: Парень из пузыря и канализационная крыса
На YouTube есть выступление Андреаса Антонопулоса под названием «Безопасность биткоина: Парень из пузыря и канализационная крыса» (Bitcoin Security: Bubble Boy and the Sewer Rat). В этой лекции он представляет централизованные системы как «пузыри», где безопасность обеспечивается за счет изоляции от внешних сил. Пребывание в изоляции не позволяет системе развить защитные механизмы, но рано или поздно пузырь лопается, оставляя ее беззащитной.
Открытые блокчейны же, по его словам, подобны канализационным крысам, живущим в дикой природе и окруженным врагами, — их иммунная система вынужденно развивается. Да, взломы случаются, но это помогает найти решения, защищающие от будущих атак.
В конце выступления Антонопулос говорит:
Открытый код
Как и у многих криптовалютных проектов, код биткоина открыт, то есть, его может прочесть каждый. Если вам интересно, можно ли взломать биткоин, просто скачайте код и посмотрите! Чем больше людей читают и анализируют код, тем скорее находятся и исправляются любые проблемы.
По сути, ошибка и уязвимость в программе — это одно и то же, только в одном случае пользователь случайно нажимает последовательность клавиш и вызывает сбой приложения, а в другом хакер намеренно нажимает те же кнопки, чтобы получить доступ туда, куда не следует. Пользователь обнаруживает ошибку случайно, хакер использует ее для атаки на систему. Да, биткоин — это ПО, в любом ПО есть ошибки, и хакеры этим пользуются.
Раскрытие уязвимости
В апреле 2018 года разработчик, работающий над кодом биткоина в проекте Digital Currency Initiative в MIT Media Lab, обнаружил уязвимость в Bitcoin Cash. Здесь нужно заметить, что сообщества биткоина и отделившегося от него Bitcoin Cash друг друга на дух не переносят.
Найденная уязвимость была очень серьезной и могла бы похоронить Bitcoin Cash, но программист повел себя достойно и сообщил разработчикам о проблеме. В итоге никто не успел воспользоваться ошибкой для взлома, она была исправлена, и 7 мая 2018 года было опубликовано соответствующее обновление.
Смарт-контракты (умные и не очень)
Если говорить о безопасности, то реализация смарт-контрактов — это очень сложная задача. Смарт-контракты — это фрагменты исполняемого кода для управления транзакциями, и они записаны в блокчейне, а значит, вечны. И, поскольку они вечны, любые ошибки и уязвимости, допущенные в таком контракте при создании, тоже вечны.
Таким образом, плохо спроектированный или реализованный код смарт-контракта может привести к огромным финансовым потерям, как это случилось в печально известной истории с DAO — в результате плохо написанного смарт-контракта.
Хакеры любят сложный код, потому что в нем больше ошибок. И наоборот, безопасность — это простота. Биткоин-сообщество разработало язык Bitcoin Script, специально упростив и ограничив его — во имя безопасности.
Альтернативный проект, Ethereum, стремится обеспечить платформу для программирования децентрализованных приложений, поэтому язык Solidity, который там используется, тьюринг-полный, то есть способен реализовать всю сложность компьютерных вычислений.
Игры Capture The Flag (CTF) заключаются в поиске уязвимостей, и у компании Security Innovation есть бесплатная игра такого рода для смарт-контрактов — Blockchain CTF. Программирование смарт-контрактов на Solidity под платформу Ethereum требует хорошей практики в области безопасности. Можно ли взломать Ethereum? Да, как и биткоин.
27 июля 2018 года ICO проекта KICKICO на платформе Ethereum было взломано и потеряло 7,7 млн долларов: хакеры получили секретный ключ проекта и взломали смарт-контракт. Справедливости ради, здесь дело было не в уязвимости в смарт-контракте, а в неправильной защите ключа.
Немного о кошельках
Хранением личных ключей занимается кошелек, и именно он отвечает за их неприкосновенность. Если вы пользуетесь онлайн-кошельком, ваши личные данные живут на чужом сервере со всеми его уязвимостями. С другой стороны, если держать кошелек у себя на жестком диске, то можно утратить средства, когда диск сломается. Безопаснее всего — офлайновые аппаратные кошельки.
Онлайн-кошельки — зло
Хранение криптовалюты в онлайн-кошельке — это, практически, приглашение ко взлому. Происходить это может так: сначала хакер узнает адрес электронной почты и телефон жертвы, — это обычно общедоступная информация, — а потом запрашивает сброс пароля для учетной записи и использует уязвимость в протоколе телефонии Signal System 7 (SS7), который используют в своих сетях, к примеру, крупнейшие американские сотовые операторы AT&T и Verizon. Так хакер перехватывает токен авторизации. Теперь у него есть доступ к кодам двухфакторной авторизации, отправляемым на телефон жертвы, и с их помощью они заходят в сервис кошелька, после чего делают с криптовалютой все, что хотят.
Уязвимость в Monero
Любопытно, что иногда уязвимости оборачиваются против самих хакеров. Исследователи из ряда университетов, включая Принстон, Карнеги-Меллон, Бостонский университет и Массачусетский технологический институт обнаружили проблему конфиденциальности в Monero. Как известно, эта криптовалюта призвана обеспечивать анонимность действий пользователей, а уязвимость позволяла получить сведения о транзакции и определить, кто ее совершает.
И, поскольку данные в блокчейне хранятся вечно, эта ошибка позволяет заглянуть в прошлое на любую глубину. Представьте себе, что у вас украли деньги, воспользовавшись уязвимостью, и хакер рассчитывал остаться анонимным, но из-за ошибки в программе его стало можно выследить — какая ирония!
Так можно ли взломать биткоин?
Ошибки бывают разные, серьезные и не очень, но зачастую для взлома совершенно не нужно ничего делать с программой.
В декабре 2017 года проект NiceHash приостановил работу из-за взлома, в ходе которого было украдено 64 млн долларов. В компании утверждали, что атака была «высокопрофессиональной» и опиралась на «сложную социальную инженерию».
Но социальная инженерия — это просто жульничество. Хакеры обманом заставляют людей отдать им пароли, предоставить доступ к тому или иному аккаунту или сообщить им какую-то секретную информацию.
Можно ли взломать биткоин? Конечно, это случалось много раз. Но каждый такой взлом изучается — и только укрепляет защиту системы.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.
Обсудить актуальные новости и события на Форуме
