a
a
Weather:
city not found
HomeBitcoinTrois façons de pirater Bitcoin

Trois façons de pirater Bitcoin

Une adresse Bitcoin correctement configurée et utilisée est pratiquement impossible à pirater. La taille des clés privées possibles garantit qu’il est pratiquement impossible de craquer une (ou plusieurs) adresses Bitcoin. Les humains, cependant, ne sont pas des machines et les humains font des erreurs.

Ici, nous allons énumérer quelques catastrophes qui ont conduit à des clés privées compromises et au vol de Bitcoin. Considérez ceci comme une liste de comment ne pas produire et utiliser des clés privées. Et peut-être comme source d’inspiration pour trouver d’autres faiblesses exploitables en matière de gestion humaine des clés privées.

Une bonne clé privée doit être parfaitement aléatoire, et jusqu’à ce que nous trouvions une machine capable de produire un vrai hasard (si une telle chose existe), nous sommes obligés de nous fier à des fonctions dites pseudo-aléatoires pour créer des clés privées. Le logiciel de portefeuille Bitcoin utilise pseudo-aléatoire pour créer de nouvelles clés et a très bien fonctionné à ce jour, ce qui suggère fortement que ces méthodes sont assez bonnes. En fait, il n’y a pas une seule collision connue dans l’histoire de Bitcoin, à savoir une génération accidentelle de paires de clés qui a conduit la personne A à vérifier les pièces de B. En d’autres termes, lorsque le logiciel ou le script du portefeuille génère une nouvelle paire de clés, ce n’est pas nécessaire. pour vérifier que les adresses publiques résultantes ont été utilisées précédemment, et cela n’est généralement jamais fait.

Il existe des milliers d’articles décrivant l’art de créer des clés privées sécurisées par cryptographie. Vous n’êtes pas obligé de lire aucun d’entre eux. Avec une seule ligne de code dans Bash (premier « sudo apt-get install openssl » si nécessaire)

openssl rand -hex 32

vous afficherez une chaîne hexadécimale de 64 caractères (256 bits ou 32 octets, si vous le souhaitez) comme

7ed821b0cfa039a69d8403f8b93d5ca008e8c11f6bf9ee3e422854165519f56a

qui peut être utilisée comme clé privée indestructible. Notre exemple représente ces deux clés privées

5Jn9eY6hNux6Dct7w67b1587bNyxa8iBmouEDiPjurpf3uwXjvT
L1UHAgG9DiiA2hNdbja55KCQ6k2QHF2nYn1XM7hNQJuLwcKFBcDM

qui, à leur tour, contrôlent ces quatre adresses publiques

14z8XV5zRs1iHR4ScppvkjPaz34CLZcTRN
1DLdKSMvgh6C7QEvy8zYXSPp9DhYQGQrU4
35LbfTGPfUAqjsAAr6vsRa8ou5766xhzZH
bc1qsatm4dxhxe8a756xznh6c2p52cctxzqgwkx7lc

Le point ici est qu’il y a et ne sera probablement jamais assez de puissance de calcul dans l’univers pour les forcer brutalement, donc à moins que nous venions juste d’écrire les clés privées, vous n’auriez jamais pu violer ces adresses publiques.

Passons maintenant à la liste des titres, par ordre d’apparition:

1. Google et le cloud

Jusque vers 2014, il était assez facile de trouver une bonne quantité de fichiers de portefeuille Bitcoin Core non chiffrés contenant des Bitcoins non dépensés en utilisant une simple expression de recherche Google, telle que « site: dropbox.com wallet.dat ». À l’époque, tous les comptes Dropbox avaient un dossier public, donc tout ce que vous y mettez était exposé au Web et une grande partie était collectée et indexée par Google. Les gens étaient bâclés (ou tout simplement stupides?) Et plus d’une personne a décidé que ce dossier était l’endroit idéal pour stocker une sauvegarde de leur portefeuille Bitcoin. Soyons extrêmement clairs: enregistrer votre fichier portefeuille dans un dossier public, même non chiffré, accessible depuis n’importe quel navigateur, est un fichier vraiment mauvaise idée.

Peu importe que Bitcoin Core ait toujours produit des paires de clés cryptographiquement sécurisées lorsque les utilisateurs les rendent publiques en ligne. Pour mémoire, une autre expression de recherche populaire était « inurl: ‘index of’ wallet.dat », qui a conduit à des pages Web en construction et des listes de tous les fichiers dans certains dossiers. En règle générale, vous ne voulez jamais que les arborescences de dossiers soient ouvertes sur le Web et cela est probablement le résultat de serveurs Web mal configurés.

Cependant, pourquoi certaines personnes ont décidé de télécharger des fichiers de portefeuille sur leurs pages Web en premier lieu reste un mystère non résolu; nous ne pouvons que conclure que cela s’est produit un certain nombre de fois.

D’ici 2020, il semble que Google ait finalement décidé de briser ces hacks ridiculement simples, et pour autant que nous le sachions, ces expressions de recherche ne vous aideront plus à trouver les fichiers de votre portefeuille. Si vous connaissez d’autres expressions de recherche, peut-être en utilisant des moteurs de recherche autres que Google, qui fonctionnent toujours, faites-le nous savoir! Nous ne serions pas surpris s’il existe encore des fichiers de portefeuille sur le Web sur lesquels vous pouvez cliquer avec le bouton droit de la souris et «enregistrer sous».

2. Guichets automatiques Bitcoin et médias sociaux

Les guichets automatiques Bitcoin sont excellents et, espérons-le, rendront la personne moyenne plus curieuse et moins sceptique à l’égard de Bitcoin. Étant donné que Bitcoin est une monnaie numérique, ce que vous obtenez lorsque vous achetez du Bitcoin à un guichet automatique n’est pas une pile de billets de banque, mais plutôt un simple reçu contenant – vous l’avez deviné – une clé privée, essentiellement sous la forme d’un code QR.

Rappelez-vous quand les adolescents pouvaient obtenir des cartes VISA et quand #MyFirstCreditCard était une chose sur Instagram? Encore une fois la même chose ici. Certaines personnes sont si fières qu’elles viennent d’acheter leurs premiers morceaux de Bitcoin et ont hâte de le dire au monde. Tout cela serait bien si ce n’était du fait que les nouveaux arrivants enthousiastes prennent des photos de leurs reçus, dans lesquels vous pouvez clairement voir le code QR, et les publier sur Facebook et Twitter.

Voici un exemple de ce type, image gracieuseté de Twitter:

Reçu ATM Bitcoin

Espérons que ce soit le propriétaire légitime qui a dépensé les pièces de

5KENaH6zZfjrmhim96ygs657kVWTZ5b9AaS193XNhLUwByW2sKc
1EmoMxgGMr1KdYNQVzfs7u6YJYBoR2C3Nj

Malheureusement, ce n’est pas le seul exemple dont nous ayons connaissance. Rapportez le message à la maison: ne prenez pas de photos de vos clés privées, et si vous le faites, ne les publiez pas sur les réseaux sociaux à moins que vous ne demandiez à être arnaqué en quelques minutes.

3. Brainwallets

D’accord, l’histoire raconte quelque chose comme ça. Jusqu’en 2015, il y avait une page Web appelée brainwallet.org, qu’il a pris peu importe mot de passe, a calculé son hachage SHA256 et l’a utilisé comme clé privée (et a eu la gentillesse d’imprimer l’adresse publique correspondante). Qu’est-ce qui ne va pas avec ça? En utilisant cette méthode, vous pouvez créer des paires de clés que vous pouvez facilement régénérer – « les stocker dans votre cerveau ». Eh bien, beaucoup de choses ne vont pas. Les humains craignent de choisir des mots de passe ou des phrases de passe valides et faciles à retenir. Le cerveau humain est terrible avec ce que nous appelons l’entropie. Le chercheur en technologie Ryan Castellucci et son collègue en ont magnifiquement parlé, ce que nous vous recommandons vivement de regarder.

Même si un site a cessé ses activités, le Web est toujours jonché de services similaires (auxquels nous ne créerons pas de lien). N’utilisez pas de brainwallets! Les ordinateurs sont bons pour l’entropie, les humains sont nulles, d’accord? N’essayez pas de stocker des clés privées dans votre cerveau. Nous pourrions également dire que l’utilisation d’une clé privée qui est le hachage de quelque chose de connu est une idée terrible.

Nous avons joué avec l’outil de Ryan Brainflayer et sommes arrivés à la conclusion que les gens utilisent toujours ces services ou solutions pour créer des paires de clés.

Un, sur plus de 20000, que nous avons trouvé est (nous ne pensons pas qu’il a été publié ailleurs)

SHA256 (« le corbeau vole à minuit »)
Kz7XDN9UJvpWEq2sVogcUYNeonG9FKxdyxrGfyUqNAKV8jfjcctB
15ytti5HgCvuBXmspJ89Qyfiuv9gNxLqaA

En résumé, restez à l’écart du brainwallet. Laissez les ordinateurs faire le calcul. Utilisez la génération de clé privée sécurisée comme au début de cet article et vous serez aussi sécurisé que possible.

Autres méthodes

À ton tour! Qu’avons-nous d’autre? Bien sûr, il y a plus de vecteurs d’attaque que ceux-ci. Une publication scientifique relativement récente nous fournit d’autres indications. Mais il doit y en avoir plus. Montre nous ce que tu as!

Autre chose!

Considérez l’adresse de don au bas de la page. Nous réinvestissons toutes les contributions dans de nouveaux projets pour btcleak.com. Aidez-nous à créer du nouveau contenu et à rester sans publicité pour toujours. Merci.

Three ways to hack Bitcoin

No comments

leave a comment