Người hâm mộ Bitcoin phá vỡ cụm từ hạt giống 12 từ chỉ trong 25 phút

Một kiến trúc sư hệ thống đã thành công trong việc giải mã một cụm từ hạt giống và nhận được phần thưởng 100,000 Satoshi (0.001 Bitcoin), trị giá khoảng $29 USD, chứng minh một lỗ hổng bảo mật đáng kể cho một số cấu hình ví.

Cụm từ hạt giống, đóng vai trò như khóa chính cho ví tiền điện tử, thường được tạo ra dưới dạng chuỗi các từ ngẫu nhiên khi tạo ví và cung cấp quyền truy cập hoàn toàn vào các quỹ đã lưu trữ.

Thách thức bảo mật bắt đầu khi một nhà giáo dục Bitcoin được biết đến với tên gọi "Wicked Bitcoin" đăng bài trên mạng xã hội:

"Có ai muốn thử sức với việc brute force cụm từ hạt giống 12 từ bảo vệ 100,000 sats không? Tôi sẽ cho bạn tất cả 12 từ nhưng không theo thứ tự cụ thể. Đường dẫn chuẩn m/84'/0'/0'...không có mẹo gì đặc biệt. Chúc may mắn."

Fraser, hacker thành công, chỉ cần 25 phút để sắp xếp lại các từ theo đúng thứ tự và truy cập vào các quỹ. Sự cố này là một lời nhắc nhở rõ ràng về các nguyên tắc bảo mật crypto cho tất cả những người nắm giữ tài sản kỹ thuật số.

Phân tích kỹ thuật của sự vi phạm

Fraser đã sử dụng BTCrecover, một ứng dụng mã nguồn mở được lưu trữ trên GitHub, cung cấp các công cụ chuyên biệt để xác định cụm từ hạt giống với các ký ức bị thiếu hoặc bị xáo trộn cùng với khả năng bẻ khóa mật khẩu.

Trong các tin nhắn trực tiếp giải thích quy trình của mình, Fraser đã tiết lộ:

"GPU chơi game của tôi đã xác định được thứ tự chính xác của cụm từ hạt giống trong khoảng 25 phút. Mặc dù một hệ thống mạnh mẽ hơn sẽ làm điều đó nhanh hơn nhiều."

Ông ấy thêm rằng bất kỳ ai có kiến thức cơ bản về việc chạy các script Python, sử dụng shell lệnh Windows, và hiểu biết về các nguyên tắc cơ bản của giao thức Bitcoin—đặc biệt là các tiêu chuẩn mnemonics BIP39—đều có thể tái hiện thành tựu của ông.

Giải thích về các hệ quả an ninh

Sự cố này làm nổi bật những khác biệt quan trọng trong cấu hình bảo mật ví. Fraser giải thích rằng cụm từ hạt giống vẫn "an toàn hoàn hảo nếu các từ không được biết đến bởi kẻ tấn công hoặc nếu có một mật khẩu 'từ hạt giống thứ 13' được sử dụng trong đường dẫn phát sinh của ví."

Ông nhấn mạnh tính bảo mật vượt trội của cụm từ hạt giống 24 từ so với loại 12 từ phổ biến hơn, nói rằng:

"Ngay cả khi một kẻ tấn công biết các từ không theo thứ tự trong cụm từ hạt giống 24 từ của bạn, họ cũng sẽ không bao giờ có hy vọng tìm ra hạt giống đúng."

Hiểu sự khác biệt về an ninh toán học

Fraser đã cung cấp các phép tính entropy chi tiết để minh họa khoảng cách an ninh:

• Một cụm từ hạt giống 12 từ có khoảng 128 bit entropy
• Một cụm từ hạt giống 24 từ chứa 256 bit entropy

Khi một kẻ tấn công biết tất cả các từ nhưng không biết thứ tự của chúng:

• Một cụm từ hạt giống 12 từ có khoảng 500 tỷ tổ hợp khả thi—có thể kiểm tra bằng phần cứng GPU hiện đại.
• Một cụm từ hạt giống 24 từ tạo ra khoảng 6.2424 × 10^23 khả năng kết hợp—không thể bẻ khóa bằng brute force với công nghệ hiện tại

Mặc dù có sự trình diễn về lỗ hổng này, nhưng ngay cả một cụm từ hạt giống 12 từ được bảo mật đúng cách vẫn cực kỳ khó bị xâm phạm trong những hoàn cảnh bình thường khi các từ thực tế vẫn được giữ riêng tư.

Các Thực Hành Bảo Mật Ví Cần Thiết

Buổi trình diễn bảo mật này củng cố một số thực hành bảo mật quan trọng cho những người nắm giữ cryptocurrency:

1. Không bao giờ công bố cụm từ hạt giống trực tuyến dưới bất kỳ hình thức hoặc ngữ cảnh nào.
2. Tránh lưu trữ kỹ thuật số của cụm từ hạt giống trong trình quản lý mật khẩu hoặc lưu trữ đám mây
3. Không bao giờ nhập cụm từ hạt giống trên thiết bị di động hoặc máy tính kết nối internet
4. Thực hiện một cụm từ mật khẩu mạnh ( thường được gọi là "từ thứ 25" ) như một phần của đường dẫn phát sinh ví của bạn
5. Cân nhắc sử dụng cụm từ hạt giống 24 từ để tăng cường bảo mật một cách đáng kể
6. Lưu trữ các bản sao hạt giống tại các địa điểm an toàn, ngoại tuyến.

Trong khi nhà giáo dục Bitcoin đã đưa ra thách thức lưu ý rằng ví được bảo mật đúng cách "sẽ không bị hack," thì cuộc trình diễn này chứng minh rằng các thực hành bảo mật cụ thể vẫn rất cần thiết để bảo vệ tài sản kỹ thuật số trước những cuộc tấn công ngày càng tinh vi.