معجب بيتكوين يكسر عبارة البذور المكونة من 12 كلمة في 25 دقيقة فقط

نجح مهندس النظم في حل عبارة افتتاحية مشوشة وادعى مكافأة قدرها 100,000 ساتوشي (.001 بيتكوين )، والتي تقدر بحوالي $29 USD، مما يوضح وجود ثغرة أمان كبيرة لبعض تكوينات المحفظة.

العبارة الافتتاحية، التي تعمل كمفاتيح رئيسية لمحافظ العملات المشفرة، تُولد عادةً كسلسلة من الكلمات العشوائية عند إنشاء المحفظة وتوفر وصولاً كاملاً إلى الأموال المخزنة.

بدأت تحديات الأمان عندما نشر معلم بيتكوين المعروف باسم "Wicked Bitcoin" على وسائل التواصل الاجتماعي:

"هل يريد أحد المحاولة وكسر هذه العبارة الافتتاحية المكونة من 12 كلمة والتي تؤمن 100,000 سات؟ سأعطيكم جميع الكلمات الـ 12 ولكن بدون ترتيب معين. مسار الاشتقاق القياسي m/84'/0'/0'...لا حيل فاخرة. حظ سعيد."

فريزر، القراصنة الناجح، احتاج فقط إلى 25 دقيقة لإعادة ترتيب الكلمات بالترتيب الصحيح والوصول إلى الأموال. هذه الحادثة تعتبر تذكيرًا قويًا بأساسيات أمان العملات المشفرة لجميع حاملي الأصول الرقمية.

التحليل الفني للاختراق

استخدم فريزر BTCrecover، وهو تطبيق مفتوح المصدر مستضاف على GitHub، والذي يوفر أدوات متخصصة لتحديد العبارات الافتتاحية التي تحتوي على كلمات mnemonics مفقودة أو مختلطة بالإضافة إلى قدرات كسر العبارة السرية.

في الرسائل المباشرة التي تشرح عمليته، كشف فريزر:

< "كانت وحدة معالجة الرسوميات الخاصة بي قادرة على تحديد الترتيب الصحيح للعبارة الافتتاحية في حوالي 25 دقيقة. على الرغم من أن نظامًا أكثر قدرة سيفعل ذلك بشكل أسرع بكثير."

وأضاف أن أي شخص لديه معرفة أساسية بتشغيل سكربتات بايثون، واستخدام واجهة الأوامر في ويندوز، وفهم أساسيات بروتوكول بيتكوين - وخاصة معايير BIP39 الذاكرات - يمكنه تكرار إنجازه.

تفسير آثار الأمان

تسلط الحادثة الضوء على الفروق الكبيرة في تكوينات أمان المحفظة. أوضح فريزر أن العبارات الافتتاحية تظل "آمنة تمامًا إذا كانت الكلمات غير معروفة للمهاجم أو إذا كان هناك عبارة مرور 'الكلمة الافتتاحية الثالثة عشر' المستخدمة في مسار الاشتقاق للمحفظة."

أوضح أن الأمان المتفوق لمفاتيح العبارة الافتتاحية المكونة من 24 كلمة مقارنة بالنوع الأكثر شيوعًا المكون من 12 كلمة، قائلاً:

"حتى لو كان المهاجم يعرف كلمات عبارة الافتتاحية الخاصة بك البالغة 24 كلمة بترتيب غير صحيح، فلن يكون لديه أي أمل في اكتشاف العبارة الافتتاحية الصحيحة."

فهم الفرق الأمني الرياضي

قدم فريزر حسابات انتروبي مفصلة لتوضيح فجوة الأمان:

• تحتوي العبارة الافتتاحية المكونة من 12 كلمة على حوالي 128 بِت من التعقيد
• تحتوي العبارة الافتتاحية المكونة من 24 كلمة على 256 بت من المعلومات العشوائية

عندما يعرف المهاجم جميع الكلمات ولكن ليس ترتيبها:

• تقدم العبارة الافتتاحية المكونة من 12 كلمة حوالي 500 مليار مجموعة ممكنة - من الممكن اختبارها باستخدام أجهزة GPU الحديثة
• تخلق العبارة الافتتاحية المكونة من 24 كلمة حوالي 6.2424 × 10^23 تركيبات ممكنة - من المستحيل حسابيًا كسرها بالقوة الغاشمة باستخدام التكنولوجيا الحالية

على الرغم من عرض هذه الثغرة، تظل العبارة الافتتاحية المكونة من 12 كلمة مؤمنة بشكل صحيح صعبة للغاية للتعرض للاختراق في الظروف العادية عندما تظل الكلمات الفعلية خاصة.

أفضل الممارسات الأساسية لأمان المحفظة

توضح هذه العرض الأمني عدة ممارسات أمنية حيوية لمستخدمي العملات الرقمية:

1. لا تنشر العبارة الافتتاحية على الإنترنت بأي شكل أو سياق
2. تجنب التخزين الرقمي للعبارة الافتتاحية في مديري كلمات المرور أو التخزين السحابي
3. لا تدخل العبارة الافتتاحية على الأجهزة المحمولة أو الحواسيب المتصلة بالإنترنت
4. تنفيذ عبارة مرور قوية ( والتي تُسمى أحيانًا "الكلمة الخامسة والعشرون") كجزء من مسار اشتقاق محفظتك
5. اعتبر استخدام عبارات افتتاحية مكونة من 24 كلمة من أجل تعزيز الأمان بشكل كبير
6. قم بتخزين النسخ الاحتياطية للعبارة الافتتاحية في مواقع آمنة وغير متصلة بالإنترنت

بينما أشار معلم البيتكوين الذي أصدر التحدي إلى أن المحافظ المؤمنة بشكل صحيح "لن يتم اختراقها"، فإن هذه التجربة تثبت أن ممارسات الأمان المحددة لا تزال ضرورية لحماية الأصول الرقمية ضد الهجمات المتزايدة التعقيد.