Több milliárd forintnyi kriptopénzt lopott el egy hekker

Habár tíz éve indult a kereskedés a bitcoinnal, az elmúlt években vált csak igazán központi témává. Ugyan a kezdetekkor még 200 forintot sem ért, a csúcson, 2017 karácsonyán egy bitcoint több, mint 5 millió forintért lehetett venni. Ma már csupán másfél millió forint darabja. A bitcoin népszerűségén és korai szárnyalásán felbuzdulva sorra jöttek az újabb és újabb kriptovaluták, mint például az Ethereum, ami hasonló, bár valamivel diszkrétebb ívet járt be. Ugyan a 2017-2018-as csúcshoz képest jelentősen zuhant a kriptovaluták értéke, de még mindig kifizetődő a kriptobűnözés.

A WIRED írt Adrian Bednarekről, egy amerikai biztonsági tanácsadóról, aki egy kliense kérésére sérülékenységeket keresett az Ethereum kulcsrendszerén. Az Ethereum-kereskedéshez a felhasználónak szüksége van egy virtuális pénztárcára, amihez kap egy nyilvános kulcsot (egy hosszú betű-szám kombináció, gyakorlatilag olyan, mint egy bankszámlaszám), valamint egy privát kulcsot (szintén hosszú számsor, ami a tranzakciók engedélyezésére szolgál). Bednarekben felmerült, hogy előfordulhat, hogy néhány felhasználó az "12345" jelszó Ethereum privát kulcs-megfelelőjével védi a tárcáját, ami komoly biztonsági kockázatot jelent.

A gyanú megalapozottnak bizonyult: megtalálta a kódhoz tartozó tárcát, ami valamikor még pénzt is tartalmazott, melyet feltehetőleg elhalászott valaki, aki szintén rátalált a kiskapura. A sikeren felbuzdulva kipróbált hasonlóan egyszerű kombinációkat, és minddel kiürített fiókokat talált. Az Independent Security Evaluators-zös (ISE) kollégáival írtak egy szoftvert, amivel több milliárd kulcsot generáltak és próbáltak ki.

A kedden kiadott tanulmányuk szerint arra jutottak, hogy több száz felhasználó privát kulcsa könnyen kitalálható, és ezt egy Ethereum-fiók birtokosa már ki is használta. Őt nevezték el Blockchain Banditának, aki (vagy akik) az ISE kutatása szerint csak a vizsgált, gyenge biztonságú fiókok közül 12-ről húzott le Ethereumot. A Bandita számláján 45 ezres gyűjteményt találtak, ami átszámítva 15 milliárd forintot ért a valuta csúcspontján. A mai árfolyamon kb. 2,2 milliárd forint az értéke.

Ugyanazzal próbálkozott, mint mi, csak sokkal lelkesebb volt.

- mondta Bednarek a Wirednek.

Annak az esélye, hogy kitaláljunk egy véletlenszerűen generált privát kulcsot, nagyjából 1 a 115 bidecilliárdhoz (115x10^75), ami ahhoz hasonló, mint keresni egy homokszemet egy tengerparton, majd megkérni egy haverunkat, hogy találja meg ő is ugyanazt a homokszemet, több milliárd partot átkutatva.

Bednarek szerint számos oka lehet a kulcsok gyengeségének. Előfordulhat, hogy a kulcs generálásakor a pénztárca egy hiba miatt rövidebb kódot állít ki, vagy akár a pénztárca fejlesztője is elrejthetett kártékony elemeket a kulcsgenerátor program kódjában, hogy később könnyebben feltörhesse a fiókokat. Persze azt sem lehet kizárni, hogy néhány felhasználó magának írta a kulcsot, ami emiatt gyengébbre sikerült.

Egy másodperc, két tolvaj

Hogy tesztelje az elméletét,  Bednarek   rárakott 1 dollárnyi Ethereumot egy gyenge kulcsú számlára, amit pillanatokon belül le is nyúlt a Bandita. Ezek után feltett 1 dollárt egy másik, hasonló fiókra, amelyről megint azonnal eltűnt a pénz, de ezúttal egy másik tolvaj számlájára került. A függő tranzakciók listáján látta, hogy a kisebb hal töredék másodpercekkel volt csak gyorsabb, mint a Bandita. Ezekből az információkból arra következtet, hogy több tolvaj is rendelkezik listákkal, amiket folyton próbálgatnak, emberfeletti sebességgel, automatizált programok segítségével.

A Bandita fiókját megfigyelve feltűnik, hogy csak a számlájára történt utalás, a számláról kifelé soha. 

A tolvaj felhalmozott egy vagyont, amit azonnal elveszített, ahogy összeomlott a piac.

- foglalta össze a helyzetet a biztonsági szakértő.

Ugyan valóban az igazság helyreállásának tűnhet, hogy a tolvaj elvesztette zsákmánya értékének nagy részét, de ne feledjük, még így is 2,2 milliárd forintnyi Ethereum ül a szegény Bandita számláján.

Mivel az egész blockchain rendszer lényege az, hogy nincs felügyelő szerv, tulajdonképpen panasztételre sincs lehetőség. Ha a kriptovaluta elhagyta a számlánkat, senki nem tudja törölni a tranzakciót. Talán ez is hozzájárult a tavalyi értékzuhanáshoz. Bárhogy is nézzük, a rendszer igazi vesztese az úriember, aki 2010-ben 10 ezer Bitcoinért vett két nagy pizzát 30 dollár, azaz 8500 forintos értékben. Egy szelet abból a pizzából ma 1,1 milliárd forintot érne. A pizzavásárló Laszlo Hanyecz valószínűleg elsőként bizonyította a kriptovaluta létjogosultságát, és tettével megihlette a Bitcoin Pizza Napot, aminek 8. évfordulója kevesebb, mint egy hónap múlva lesz, május 22.-én.