" Пользователь Reddit стал последним примером того, почему пользователи криптовалют должны быть более осторожными при использовании генераторов кошельков. Один из пользователей потерял биткойны на несколько тысяч долларов из своего «безопасного» бумажного кошелька.
24 июля пользователь Reddit под ником /jdmcnair разместил в сабреддите r/Bitcoin сообщение с просьбой объяснить, как хакер мог украсть биткойны на сумму более 3000 долларов из их якобы безопасного бумажного кошелька, который даже был сгенерирован на автономном компьютере.
Адрес биткойн-кошелька пользователя Reddit показывает исходящую транзакцию в размере 0,12 BTC. Источник: Blockchain.com
«Я занимался самостоятельным хранением, сгенерировал свой ключ и распечатал его на бумаге на автономном компьютере, перевел свои BTC в этот автономный кошелек и хранил его данные в сейфе, ключ от которого есть только у меня, — написал пользователь. – Я думал, что храню его одним из наиболее безопасных способов».
В обновлении своего первоначального поста пользователь Reddi сообщил, что он использовал инструмент создания кошелька walletgenerator.net для создания закрытых ключей своего кошелька, который, как отметили некоторые пользователи, в прошлом был печально известен своими уязвимостями.
Директор по безопасности CertiK компании по обеспечению безопасности блокчейнов Хью Брукс сказал, что пользователи должны дважды подумать, прежде чем использовать генератор криптокошельков.
По словам Брукса, такие генераторы онлайн-кошельков уже некоторое время служат жизнеспособным инструментом взлома:
«Некоторые из этих генераторов кошельков могут быть откровенным мошенничеством. Веб-сайт, о котором идет речь в сообщении, возвращает IP-адрес в России. Глядя на такой инструмент, как Criminal IP, мы видим, что на этот адрес было подано несколько сообщений о злоупотреблениях».
Генераторы бумажных кошельков, как известно, содержат серьезные уязвимости с 2019 года, сказал Брукс, добавив, что если кто-то создал кошельки с помощью walletgenerator.net, то, скорее всего, «одни и те же ключи были переданы разным пользователям».
Эксплойт генератора кошелька Profanity был хрестоматийным примером этой уязвимости в системе безопасности, которая привела к взлому алгоритмического маркетмейкера Wintermute на 160 миллионов долларов в сентябре.
По словам Брукса, решение простое. Пользователи, которым нужно безопасное хранилище криптовалют, должны использовать «надежного поставщика аппаратных кошельков, такого как Ledger и Trezor».
Пользователь реддита был сбит с толку тем, почему хакер ждал более 12 месяцев, чтобы украсть средства. Другой пользователь предложил возможное объяснение.
«Хакеры ждут, пока достаточно нубов подумают, что они сгенерировали безопасные закрытые ключи, ждут, пока они внесут значительные суммы, а затем, в один прекрасный день, уводят все средства, поэтому нет времени реагировать на сообщения о взломе сайта».
В связи с внезапным увеличением пробуждения давно бездействующих биткойн-кошельков — многие из которых имеют миллионы средств — некоторые эксперты считают, что это связано со взломом генераторов кошельков.
«Непопулярное мнение о криптовалюте: тот факт, что генераторы кошельков могут быть взломаны, и люди могут потерять свои средства без возможности как-то вернуть их, ужасает. Я собираюсь сказать вам, что я считаю ответом, но я знаю, что команда «сделать все децентрализованным» ненавидит это», — пишет в твиттере Джесси Хайнс (@jesse_hynes) 25 апреля 2023 г.
По данным CertiK, хакерам удалось украсть более 300 миллионов долларов во втором квартале 2023 года, что на 58% меньше, чем за тот же период прошлого года.
