En ukendt enhed har udnyttet svage private nøgler til at samle titusinder af Ethereum ifølge en ny undersøgelse.

Undersøgelsen – “Ethercombing: Finding Secrets In Popular Places” – blev udført af Independent Security Evaluators (ISE), et sikkerheds konsulentfirma og offentliggjort tirsdag. Virksomhedens resultater blev også dækket af en historie fra Wired’s Andy Greenberg.

På et tidspunkt – januar 2018, i løbet af sidste års krypto pris stigning- løb det op til næsten 38.000 ETH, et beløb på mere end 54 millioner dollars. Nu, ifølge rapporten, den såkaldte “blockchain bandit” – besidder 44.744 ETH, eller $ 6.1 millioner værd, i en adresse opdaget midt i en søgning efter adresser, der er beskyttet af svage private nøgler. Private nøgler er strenge af data, der i tilfælde af krypto aktivergør det muligt for brugerne faktisk at sende transaktioner fra deres adresser. Disse nøgler skal nøje overvåges eller ellers blive kompromitteret, hvilket gør det muligt for eksterne aktører – i dette tilfælde blockchainbandit – at placere midlerne i stedet.

I starten forsøgte ISE at “opdage nøgler, der kunne være blevet genereret ved hjælp af defekt kode, defekte tilfældige talgeneratorer eller en kombination af begge”, idet det under normale omstændigheder er at opdage de der er skabt som tilsigtet, være “alt andet end umuligt, “Ifølge firmaet.

Tilsvarende fandt ISE 732 private nøgler i løbet af sin undersøgelse, som kombinerede udstedte lidt over 49.000 etere-transaktioner. Holdet identificeret også 13.319 Ethereum, der blev overført til enten ugyldige destinations adresser eller tegnebøger stammer fra svage nøgler, der på Ethereum markets højde havde en samlet samlet værdi på 18.899.969 $. “

Adrian Bednarek, en forsker og analytiker for ISE, fortalte Wired, at den ukendte tyv “gjorde de samme ting, vi gjorde, men han gik ud over” og at selve processen var sandsynligvis automatiseret.

“Hvem denne fyr eller disse fyre er, bruger de en masse computertid, der sniffer til nye tegnebøger, ser på hver transaktion og ser, om de har nøglen til dem,” fortalte Bednarek publikationen.

I rapporten konkluderede ISE, at “det bør konkluderes, at ethvert system, der håndterer private nøgler, vil være i en øget trussel mod målrettede angreb” af ville være krypto tyve.

“Softwareudviklere, der designer software eller systemer, der interagerer med meget værdifulde private nøgler, bør inkorporere alt tilgængeligt forsvar i dybdeprincipper for at imødegå nuværende trusler og bruge innovative foranstaltninger til at imødegå avancerede nuværende og fremtidige trusler mod disse værdifulde aktiver”, skrev teamet.