Хакеры взламывают физическую форму Биткоина
- 2 326
- 0
Монета Casascius была названа уязвимой для физического нападения на проходившей в этом году конференции Defcon, одном из крупнейших в мире собраний хакеров. Монеты Casascius являются одной из физических форм биткоина, и представлены достоинством в 0,5 1 и 25 BTC. У каждой монеты есть персональный ключ, напечатанный на ней и скрытый голографической наклейкой. Хакеры Defcon смогли выявить ключи и заменить наклейку практически без признаков фальсификации.
Секретный ключ на каждой монете Casascius относится к адресу биткоина, который содержит в себе стоимость монеты. Смысл доступа к этой монете заключается в том, что баланс адреса монеты может быть изменен. Это может быть либо увеличение стоимости с тем, чтобы переправить деньги, — или, скорее всего, чтобы удалить BTC стоимость из монет, прежде чем передать монеты любому, кто принимает его в качестве валюты.
В соответствии с информацией блога «Кодирование во Сне», «физическая атака» была осуществлена с использованием иглы для введения подкожных инъекций чем-то, что было описано как «неполярный растворитель», введенным между голографической наклейкой монеты и латунной поверхностью. Растворитель имел эффект нейтрализации клеем, таким образом позволяя удалить наклейку, не разрушая ее.
Таким образом, персональный ключ может быть легко читаем, и наклейка может быть заменена на новое клеющее вещество. Единственным признаком фальсификации была небольшая деформация в том месте, где игла растянула наклейку во время введения — признак, который можно было принять за норму вследствие изношенности монеты.
Эксперт по информационной безопасности Владимир Марченко сказал нам: «С самого начала, когда о монетах Casascius было объявлено, я довольно скептически относился к этому проекту из-за опасений в сфере информационной безопасности. Было ясно, что, если кто-то прячет персональный ключ в физический объект, то может быть оправдывающий затраты безопасный метод найти этот ключ или каким-то иным образом «подделать» монету.
«Более того, нет никакой секретной службы для преследоватния «нападавших», в отличие от случая с плавающей ставкой. Если пользоваться только чисто техническими мерами, всегда будет порождаться сильнейший антагонизм, но в этом случае даже временное преимущество нападавших является неприемлемым. Сегодня это химические вещества, завтра это может быть какой-нибудь рентген-анализ обнаружения следов металлов в используемых чернилах и т.д. Количество Неизбежно будет расти количество успешных атак на те физические формы биткоина, которые прячут персональный ключ внутри некоей физической среды».
Марченко продолжал намечать общие проблемы с физическими формами цифровой валюты: «Что еще больше тревожит с такими типами физических форм биткоинов, так это неизвестная “цепочка охраны” секретного ключа, до момента пока он не будет встроен в монету. Мы могли бы, конечно, предположить, что все производители этой монеты являют собой исключительно джентльменов без намерения заиметь себе базу данных о закрытых ключах, но нет никаких гарантий. Первое правило информационной безопасности, это не идти на неизвестные риски. Эти монеты, безусловно, имеют ценность в качестве новинки и могут быть интересным артефактом и иметь некоторую нумизматическую ценность. Тем не менее, я бы настоятельно не рекомендовал использовать такие физические монеты в качестве места для длительного хранения любого нетривиального количество биткоинов».
Марченко дал нам понять, что биткоин не должен быть представлен в физических формах, иначе это устраняет многие преимущества цифровой валюты. «Биткоин выполнен в виде электронной валюты и самый безопасный способ использовать его, это использовать его в электронном виде и держать операции с биткоином на блоковой цепи. Персональные ключи предназначены оставаться персональными и никогда не должны быть раскрытыми для третьих лиц. В тот момент, когда кто-то начинает торговать персональными ключами, он добровольно лишается большинства преимуществ современной криптографии, которые предоставляет биткоин. Те хакеры из Defcon наглядно продемонстрировали это, выбрав легкий способ: удалив наклейку из куска пластика. Я был бы гораздо больше впечатлен, если бы они успешно атаковали SHA256, RIPEMD или ECDSA «.
Здесь еще не было комментариев.