Ein Systemarchitekt knackte eine Startphrase und gewann in knapp einer halben Stunde ein Kopfgeld von 100.000 Satoshi oder 0,001 Bitcoin (BTC) im Wert von 29 US-Dollar. Cointelegraph sprach mit Andrew Fraser in Boston, der betonte, wie wichtig es ist, eine Bitcoin-Wallet-Seed-Phrase sicher und offline zu halten.
Eine Seed-Phrase oder Recovery-Phrase ist eine Folge von zufälligen Wörtern, die generiert werden, wenn eine Brieftasche erstellt wird, die auf die Brieftasche zugreifen kann, ähnlich einem Hauptschlüssel. Fraser Brute erzwang eine 12-Wörter-Saatphrase, die der Bitcoin-Erzieher „Wicked Bitcoin“ auf Twitter teilte:
Möchte jemand versuchen, diese 12-Wörter-Saatphrase brutal zu erzwingen und 100.000 Sats zu sichern? Ich gebe Ihnen alle 12 Wörter, aber in keiner bestimmten Reihenfolge. Standard-Ableitungspfad m/84’/0’/0’…keine ausgefallenen Tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Böse (@w_s_bitcoin) 26. April 2023
Wie gezeigt, forderte Wickeds Tweet die Benutzer auf, die richtige Reihenfolge der 12-Wörter-Seed-Phrase zu entschlüsseln.
„Jemand möchte versuchen, diese 12-Wörter-Saatphrase brutal zu erzwingen und 100.000 Sats zu sichern? Ich gebe Ihnen alle 12 Wörter, aber in keiner bestimmten Reihenfolge. Standard-Ableitungspfad m/84’/0’/0′ … keine ausgefallenen Tricks. GL.“
Es dauerte nur 25 Minuten, um die 100.000 Satoshis freizuschalten – oder knapp 30 US-Dollar. Der Vorfall dient als rechtzeitige Erinnerung für Bitcoin-Benutzer und Krypto-Enthusiasten, Krypto-Sicherheit ernst zu nehmen.
Fraser knackte den Code mit BTCrecover, einer Softwareanwendung, die auf GitHub verfügbar ist. Die Software bietet eine Reihe von Tools, mit denen Seed-Phrasen mit fehlenden oder verschlüsselten Mnemoniken und Dienstprogrammen zum Knacken von Passphrasen ermittelt werden können. Über Twitter-DMs sagte Fraser gegenüber Cointelegraph:
„Meine Gaming-GPU konnte die richtige Reihenfolge der Startphrase in etwa 25 Minuten bestimmen. Obwohl ein leistungsfähigeres System dies viel schneller tun würde.“
Er bemerkte, dass jeder mit Grundkenntnissen in der Ausführung von Python-Skripten, der Verwendung der Windows-Befehlsshell und dem Verständnis des Bitcoin-Protokolls – insbesondere der BIP39-Mnemonik – in der Lage sein sollte, seinen Erfolg zu wiederholen.
Cointelegraph befragte Fraser zur Sicherheit von 12-Wörter-Seed-Keys. Fraser erklärte, dass sie „absolut sicher sind, wenn die Wörter einem Angreifer unbekannt bleiben oder im Ableitungspfad der Brieftasche eine Passphrase „13th Seed Word“ verwendet wird“.
Darüber hinaus betonte er die überlegene Sicherheit von 24-Wörter-Seed-Keys.
„Selbst wenn ein Angreifer die fehlerhaften Wörter Ihres 24-Wörter-Seed-Keys kennen würde, hätte er niemals die Hoffnung, den richtigen Seed zu entdecken.“
Fraser schlüsselte die Entropieberechnungen auf, um den Sicherheitsunterschied zwischen den beiden Arten von Seed Keys zu erklären. Ein 12-Wort-Seed hat ungefähr 128 Bit Entropie, während ein 24-Wort-Seed 256 Bit aufweist. Wenn ein Angreifer die ungeordneten Wörter eines 12-Wörter-Seeds kennt, gibt es nur etwa eine halbe Milliarde mögliche Kombinationen, was mit einer anständigen GPU relativ einfach zu testen ist. Ein Seed mit 24 Wörtern hat jedoch ungefähr 6,24^24 mögliche Kombinationen – und das sind viele Nullen.
Verwandte: Die schlechtesten Orte, um Ihre Krypto-Wallet-Seed-Phrase aufzubewahren
Selbst die Wahrscheinlichkeit, dass ein Angreifer eine Seed-Phrase aus 12 Wörtern knackt, ist grenzwertig absurd. 24-Wörter-Seed-Phrasen mögen überlegen sein, aber wie Wicked in einem Post-Mortem auf die Seed-Phrasen-Herausforderung hinweist; “Es wird nicht gehackt werden, tbh.”
In dem unwahrscheinlichen Fall, dass jemand Ihre Seed-Phrase zerschnitten und außer Betrieb findet, dann ja, lol.
— Böse (@w_s_bitcoin) 27. April 2023
Letztendlich ist es eine rechtzeitige Erinnerung an die Leser, um sicherzustellen, dass Seed Phrases niemals online veröffentlicht oder geteilt werden. Das bedeutet, dass eine Seed-Phrase nicht in einem Passwort-Manager, einer Cloud-Speicherlösung, gespeichert werden sollte, und sie sollten auf keinen Fall in ein Telefon eingetippt werden.
Fraser betonte auch, wie wichtig es sei, Seed Keys geheim zu halten und eine Passphrase zu nutzen, die als Teil des Ableitungspfads fungiert. Was die 100.000 Sats betrifft, die Fraser mit nach Hause nahm? Fraser twitterte, dass er sie an diesem Abend zum Abendessen ausgegeben habe: Hähnchen Marsala. Sprechen Sie über Kreislaufwirtschaft.
Cointelegraph Magazine: Bitcoin im Senegal: Warum verwendet dieses afrikanische Land BTC?