В криптоактивах ночью внезапно поднялась буря. В 2:17 ночи система мониторинга в блокчейне внезапно сработала, одновременно активировав 22 сигнала тревоги. Эти сигналы показывают, что средства с 22 адресов Биткойн были перемещены, в общей сложности 40142 BTC, стоимость которых составляет примерно 24,3 миллиарда долларов.

Однако действительно шокирующим является способ проведения этого перевода. Все эти адреса используют известный скрипт P2WPKH, но подписи не исходят от оригинальных владельцев, а генерируются новыми приватными ключами, контролируемыми Министерством юстиции США. Это открытие сразу же вызвало глубокое расследование со стороны экспертов отрасли.

Результаты расследования вызывают холодок по коже. Эти 22 атакованных Адреса были созданы в период с 2020 по 2021 год и использовали старые версии некоторых кошельковых приложений. Эти версии применяли слабую случайную функцию, чья случайная энтропия составляла всего 112 бит, что значительно ниже безопасного стандарта в 128 бит. Это означает, что всего за 32 тысячи долларов, арендовав облачные вычислительные ресурсы, можно всего за 4 дня с помощью метода грубой силы восстановить закрытый ключ. Такой способ атаки скорее можно назвать продвинутым "угадыванием паролей", чем взломом.

Более тревожным является то, что данные в блокчейне показывают, что существует еще 1867 адресов, использующих тот же слабый случайный алгоритм, на которых незакрытый баланс достигает 78940 BTC, что составляет около 4,7 миллиарда долларов. Из этих средств 57% были переведены на биржу, а оставшиеся 43% по-прежнему "спят" на оригинальном адресе, подвергаясь риску быть "предсказанными" в любой момент.

В условиях этой серьезной ситуации эксперты отрасли предложили два совета по безопасности: во-первых, переместить средства в оффлайн-среду с энтропией более 256 бит, например, использовать кубики для генерации случайных чисел и выполнять оффлайн-подпись; во-вторых, отказаться от использования мнемонических фраз, автоматически генерируемых горячими кошельками, и вместо этого использовать аппаратные кошельки в сочетании с паролем, чтобы обеспечить физическую изоляцию и искусственно увеличить энтропию.

В мире криптоактивов приватный ключ равен активу, а степень случайности непосредственно связана с безопасностью средств. Многие инвесторы уже начали действовать, переводя основные средства в холодные кошельки, а также уничтожая устаревшие устройства, которые могут представлять угрозу безопасности. Этот инцидент, безусловно, стал тревожным сигналом для всего сообщества криптоактивов, призывая всех участников пересмотреть и усилить свои меры безопасности.