Un informe reciente de la agencia Independent Security  Evaluators reveló cómo un criminal blockchain logró acumular casi 45,000 ether (ETH) al adivinar con éxito las claves privadas débiles. Adrian Bednarek, un analista sénior de seguridad de la empresa, comentó que descubrió al delincuente por accidente.

Según la investigación, la probabilidad de dar con una clave privada de la dirección de Ethereum de una persona es de aproximadamente 1 en 2256. Sin embargo, partiendo del hecho de que suponer que una clave privada es una improbabilidad estadística, el individuo logró descubrir 732 claves privadas bajo este método. De esta forma, pudo realizar transacciones fácilmente como si se tratara del titular de la cuenta.

Ethereum registra casi 50 millones de direcciones públicas, dentro de las cuales es probable que existan algunas con claves débiles o carentes de aleatoriedad por varios factores, como la clave de truncamiento. A veces se genera una clave privada aleatoria de 256 bits, pero solo se usa un subconjunto de esta por la codificación, marco u otros errores.

Investigador encuentra error grave en TRON que permitía ataques DDoS

Según el informe, en lugar de aplicar la fuerza bruta para claves privadas aleatorias, el bandido aplicó de forma combinada buscar códigos defectuosos y generadores de números aleatorios defectuosos.

Bednarek notó que algunas billeteras asociadas con las claves privadas encontradas bajo este método realizaban grandes volúmenes de transacciones en una sola dirección sin que se devolviera el dinero.

“Había un tipo que tenía una dirección que estaba dando vueltas y extrayendo dinero de algunas de las llaves a las que teníamos acceso. Encontramos 735 claves privadas, él tomó dinero de 12 de esas claves a las que también tuvimos acceso. Es estadísticamente improbable que adivinara esas llaves por casualidad, por lo que probablemente estaba haciendo lo mismo […] básicamente estaba robando fondos tan pronto como entraba en las billeteras de las personas”.

El informe concluye que cualquier sistema que maneje claves privadas estará bajo riesgo de ataques dirigidos. Es por ello que los desarrolladores de software del área deben incorporar mecanismos de defensa para contrarrestar las amenazas del presente, y adelantare a las futuras.

Más en CoinCrispy