News
Appelez-moi Ishmael | Blog BitMEX
Abstrait: Ce rapport examine le concept de «brainwallets» et dans quels contextes ils peuvent être utiles. À titre expérimental, huit clés privées Bitcoin ont été créées, en utilisant des mots de passe d’œuvres de fiction populaires et d’autres médias. Tous les fonds ont été emportés en peu de temps et dans un cas, remarquablement, les fonds ont été pris en environ 0,67 seconde. Le rapport conclut en faisant valoir que les portefeuilles intellectuels ne sont peut-être pas un moyen sûr de stocker des pièces de monnaie, certainement pas en utilisant des expressions populaires dans des œuvres publiées.
Aperçu
Malheureusement, l’humanité est souvent en proie à des crises de réfugiés, de la Seconde Guerre mondiale aux conflits plus récents dans des régions telles que la Syrie, la Yougoslavie ou l’Afghanistan. Dans ces scénarios, les familles doivent souvent fuir rapidement une région pour se mettre en sécurité, laissant derrière elles leurs affaires. Comme beaucoup de lecteurs de ce rapport, je sais personnellement tout cela très bien, il y a à peine deux générations, mes parents juifs résidaient en Allemagne nazie avant le déclenchement de la Seconde Guerre mondiale et ils ont fui le pays pour se réfugier au Royaume-Uni. Mes proches avaient une richesse substantielle à l’époque, mais ils ne pouvaient pas être transportés efficacement et lorsqu’ils sont arrivés au Royaume-Uni, ils n’avaient rien à leur nom. Avec le recul, laisser leurs richesses en Allemagne n’était pas un problème majeur et ma famille a la chance d’avoir survécu. Bien sûr, on peut essayer de transporter de l’or ou des diamants lors de votre voyage, mais il y a toujours un risque de fouille et de saisie, surtout lors du franchissement d’une frontière hostile.
C’est à ce moment que les défenseurs de Bitcoin entrent dans l’argumentation, affirmant que Bitcoin est une solution potentielle à ce problème auquel sont confrontés les réfugiés et d’autres craignant la confiscation de leurs richesses. On peut utiliser un «brainwallet». Les réfugiés n’ont besoin de rien emporter avec eux, tout ce qu’ils auraient à faire est de se souvenir de la phrase de passe d’un portefeuille Bitcoin. Des fonds, potentiellement des millions de dollars américains, peuvent donc être efficacement stockés dans notre esprit.
sha256(Call me Ishmael)=a88910233e176ef4489b52d686f326d7ff9ccff686065a44cbd3665384508ad6
Un utilisateur de brainwallet peut choisir une phrase populaire, en prendre le hachage sha256, puis l’utiliser comme clé privée pour générer une adresse Bitcoin. Dans ce court rapport, à titre expérimental, j’ai généré quelques brainwallets et examiné leurs caractéristiques de sécurité.
Expérience Brainwallet
Le tableau ci-dessous affiche huit brainwallets que j’ai générés, à partir d’œuvres populaires de fiction, de paroles musicales ou de littérature académique. Aucun des portefeuilles n’a été utilisé auparavant dans l’histoire de Bitcoin car j’ai généré huit nouvelles adresses inutilisées. Dans une transaction, J’ai ensuite envoyé 0,005 BTC à chaque adresse. Je suis intéressé à évaluer la viabilité des portefeuilles intellectuels et à déterminer si et à quelle vitesse les fonds peuvent être balayés par des pirates capables de deviner la phrase de passe que j’ai choisie.
| Mot de passe | La source | Sha256 | Type | Adresse |
| Appelez-moi Ishmael | «Moby-Dick» par Herman Melville | a88910233e176ef4489b | Comprimé | 121qcemzF3HHsvhggufE XNedHncAzzT41T |
Non compressé | 168z2uEg5Shzsgknq561 oefN2xmLpjZUvH | |||
| C’est une vérité universellement reconnue qu’un homme célibataire en possession d’une bonne fortune doit avoir besoin d’une femme. | «Orgueil et préjugés» de Jane Austen | be09c4df6444afa6adff | Comprimé | 17N4w1bMcfU6XCYABVwh EyJSW8bjkZX1Wr |
Non compressé | 1PuZXtWfXRdBzFcQ9ARuL 7D8ydnfmhQKzF | |||
| C’était le meilleur des temps, c’était le pire des temps, c’était l’âge de la sagesse, c’était l’âge de la folie, c’était l’époque de la croyance, c’était l’époque de l’incrédulité, c’était la saison de la lumière, c’était C’était la saison des ténèbres, c’était le printemps de l’espoir, c’était l’hiver du désespoir | «Un conte de deux villes» de Charles Dickens | e051a4337000945d99a4 | Comprimé | 1DMowSp8G1v5bFyfV4R DFcPRERfcqycWVx |
| Au commencement, Dieu créa le ciel et la terre | La version King James de la Bible | f153b22c61d6013bf2d7 | Comprimé | 1EsxEASH5tSHGzmKohT FNBGr9xAcyTawyL |
La réponse, mon ami, souffle dans le vent | «Blowin ‘in the Wind» de Bob Dylan | aeac73098d2b9a29ba47 | Comprimé | 175hVojnUG3P652wxMog VvzdAx2yFAo4q5 |
| Le réseau est robuste dans sa simplicité non structurée | Livre blanc Bitcoin par Satoshi Nakamoto | 1ecbe1b2d3242ee7b31e | Comprimé | 19bHzxnvf8RFcjSCZsx1 TDREbEAryYYbRJ |
Balayage des fonds
Tous les fonds ont été emportés en une journée et les 0,04 BTC que j’ai dépensés pour cet exercice ont été perdus, potentiellement pour toujours. Fait remarquable, trois des dépôts ont été balayés avant même que notre transaction ne soit confirmée dans la blockchain. Dans un cas, un nœud Bitcoin exécuté indépendamment a été témoin de la transaction de balayage des fonds à peine 0,670 seconde après avoir vu la transaction d’origine entrer dans son pool de mémoire. Ce balayage extrêmement rapide appliqué à l’adresse avec la phrase de passe « Appelez-moi Ismaël », la ligne d’ouverture du roman Moby-Dick.
Speed les fonds de brainwallet ont été balayés (secondes)
(Source: Recherche BitMEX)
(Notes: timings basés sur le moment où la transaction est entrée dans le pool de mémoire de l’un de nos nœuds sans rapport avec cet exercice)
Le tableau ci-dessous montre à quelle vitesse les fonds restants ont été emportés. Quatre des balayages ont eu lieu après 22 blocs et tous ces balayages semblent avoir été effectués par la même entité, car les quatre UTXO ont été utilisés comme entrées dans le même transaction. Le balayage final, qui contenait du texte du livre blanc Bitcoin, a pris 80 blocs.
Speed les fonds de brainwallet ont été balayés (blocs)
(Source: Recherche BitMEX)
(Remarques: les quatre premiers balayages ont tous eu lieu dans la même transaction)
Les frais de transaction
Les transactions de balayage avaient tendance à avoir des frais très élevés, par exemple le balayage non compressé «Appelez-moi Ishmael» utilisait un taux de frais de 390 satoshis par octet virtuel, plusieurs ordres de grandeur au-dessus du taux du marché en vigueur. Cela indique que le pirate est dans une course avec d’autres pirates et peut-être le propriétaire légitime de la pièce, pour obtenir d’abord sa transaction confirmée dans la blockchain. En effet, il s’agit d’un scénario où au moins deux entités connaissent la clé privée et des frais de transaction plus élevés peuvent augmenter la probabilité d’une transaction réussie.
Implications de l’analyse
La vitesse et la nature du rachat des fonds indiquent clairement que les gens ont des serveurs en ligne 24h / 24 et 7j / 7 qui analysent la blockchain et leur pool de mémoire respectif à la recherche de faibles portefeuilles intellectuels à pirater. Ces serveurs sont susceptibles d’avoir pré-généré plusieurs centaines de milliers d’adresses Bitcoin, en utilisant du texte de milliers d’œuvres publiées, de la musique, des livres, des articles universitaires, des magazines, des blogs, des tweets et d’autres médias, puis les ont stockés dans une base de données.
Il y a environ un an, j’ai mené une expérience similaire, où des fonds étaient envoyés à des adresses générées par un modèle raisonnablement évident au cœur de certains des romans les plus vendus au monde. Ces fonds sont toujours dans la blockchain aujourd’hui et n’ont pas été volés. La principale différence semble être que ces mots de passe n’ont pas été directement générés à partir du texte non modifié dans les livres, par conséquent, les fonds y restent non échangés et les pirates n’ont pas encore trouvé les mots de passe. Cependant, il ne faut absolument pas considérer cela comme un moyen sûr de stocker des fonds.
Quant à savoir où les huit sorties qui m’ont été volées, au moment de la rédaction de cet article, six sont allées à de nouvelles adresses inutilisées et les pièces n’ont pas été dépensées, tandis que l’une est allée à une adresse usagée et les pièces n’ont pas non plus été dépensées. Une seule des sorties a été dépensée, les pièces envoyées à « Le réseau est robuste dans sa simplicité non structurée » adresse. Sur la base de notre analyse très basique, qui pourrait être incorrecte, ces pièces semblent avoir été envoyées à HitBtc.
Conclusion
Une conclusion de base ici est simple, n’utilisez PAS un brainwallet à partir de documents publiés, ils ne sont pas sûrs. Dans un scénario du monde réel, si quelqu’un (y compris un réfugié) a accès à Bitcoin, il a probablement également accès à Internet.Par conséquent, un moyen plus sûr de stocker des pièces de monnaie pourrait être de vous envoyer par courrier électronique une sauvegarde cryptée de votre clé privée. Ensuite, les fonds sont stockés en ligne et vous ne risquez pas d’être fouillé. La phrase de passe de cryptage ici ne sera pas instantanément soumise à l’attaque avec la grande base de données de matériaux, mais cela pourrait être un risque à plus long terme si l’e-mail est compromis.
Cela étant dit, si l’on sait ce qu’ils font et a une bonne compréhension des risques encourus et de la manière dont les attaquants opèrent, il peut être sûr d’utiliser un brainwallet dans une mesure limitée. Par exemple, en combinant des sections de texte de plusieurs œuvres de fiction avec des anniversaires dans votre famille, votre numéro de téléphone et au moins une source d’aléatoire (par exemple, des dés). Veuillez ne pas considérer cet exemple comme un conseil, mais le fait est qu’en combinant de nombreuses catégories d’informations différentes, un portefeuille sécurisé peut être possible.
Cependant, si vous avez besoin d’utiliser un brainwallet, sur la base des données de ce rapport, ne choisissez rien de simple ou de poétique. J’ai découvert la manière difficile.
en relation
Traduction de l’article de BitMEX Research : Article Original
