BTC також є Dark Forest: викриття шкідливих ботів у ланцюжку

Автор: Тал Бе

Джерело:

Переклад: Вернакулярний блокчейн

Дослідники Zengo виявили, що шкідливі боти відстежували існування небезпечних випадкових адрес у BTC блокчейнах і негайно використовували їх для скоєння крадіжок, завдаючи збитків на мільйони доларів, одна з яких сталася 23 листопада 2023 року.

У рамках поточних досліджень Zengo X у сфері безпеки блокчейну ми розслідували справу нещодавно втрачених 139 BTC, які на той момент становили близько $5,5 млн. Непомітно для нас, тим самим ми відкрили скриньку Пандори BTC Темному лісі.

У 2020 році дослідники Paradigm Ден Робінсон і Георгіос Константопулос опублікували впливову публікацію в блозі під назвою «ETH Workshop — це темний ліс»: розкриваючи ботів, які ховаються в темряві пулів пам’яті ETH Workshop, відстежуючи незавершені транзакції та намагаючись отримати вигоду з прибуткових можливостей, які вони створюють. **

Сьогодні ми розкриваємо, що це явище не обмежується ETH блокчейнами, але також стосується BTC блокчейнів (і, можливо, багатьох інших).

1, цей випадок надмірних зборів

23 листопада угода BTC привернула увагу BTC аналітиків. **Ця транзакція встановила рекорд зі сплати комісій, заплативши понад 3 мільйони доларів США (83 BTC) за переказ BTC на суму 2 мільйони доларів США. **

Хоча безпосереднє пояснення цих непомірних зборів (які зазвичай передбачаються менше 10 доларів) полягає в тому, щоб звинуватити їх у якійсь ручній помилці набору тексту, як це траплялося в минулому, користувачам не знадобилося багато часу, щоб заявити, що вони були початковими власниками X (до Twitter) і були якимось чином зламані. **

Власник облікового запису X криптографічно доводить, що він дійсно володіє BTC-адресою, підписуючи її пов’язаним приватним ключем.

2, наше розслідування розпочато

У міру того, як ми починаємо глибше досліджувати цю непомірну угоду про гонорари, з’являються деякі більш тонкі, але цікаві факти.

Позначені транзакції (Джерело: mempool.space)

Вище наведено кілька цікавих висновків:

CPFP: Це розшифровується як «Child Pays For Parent», що означає, що вхідні дані для цієї транзакції є результатом іншої непідтвердженої транзакції. У цьому випадку це означає, що поки перша транзакція очікувала в мемпулі, відбулася транзакція з перезарядкою. Згідно з даними провідника, він фактично був відправлений в ту ж хвилину, що і попередня транзакція. **Вартість становить рівно 60% від загальної суми витрачених коштів (83,65 / 139,4), тому навряд чи це буде помилкою, а скоріше результатом якоїсь автоматизованої дії. **

RBF вимкнено: відправник транзакції вимкнув опцію “Замінити комісією” (RBF) або запобіг іншим транзакціям перезаписати транзакцію з вищою комісією. Крім того, інший користувач X помітив, що спочатку було кілька транзакцій з перевищенням комісії кандидатів, які замінювали одна одну, сплачуючи вищу комісію (більше не видно в провіднику, оскільки замінена інформація про транзакцію була очищена протягом короткого періоду часу).

3. Фактична ситуація: Припустимо спочатку

Виходячи з отриманих даних, існує кілька можливих гіпотез, що пояснюють цю транзакцію з перевищенням комісії:

Початковий власник переплатив за помилку: заява власника про X була лише для того, щоб зберегти обличчя, оскільки твердження про те, що його зламали, звучить більш прийнятно, ніж визнання незграбності.

Примітка: Це здається не дуже правдоподібним, оскільки транзакція була відправлена, коли попередня транзакція все ще перебувала в мемпулі (див. CPFP вище), що вимагало технічної експертизи, а точний характер комісії (рівно 60% від загальної комісії) не відповідає помилковим введенням або загальній незграбній теорії.

Приватний ключ оригінального власника був зламаний: зловмисник розкрив приватний ключ і чекав, поки власник надішле кошти на адресу.

Наша думка: Це малоймовірно, оскільки транзакція була випереджена RBF, а це означає, що кілька сторін знають про приватний ключ.

Закритий ключ початкового власника є передбачуваним: закритий ключ створюється певним передбачуваним способом, наприклад, шляхом хешування парольної фрази («Brian-wallet») або вибору ключа з набору, який є занадто малим (32 біти). Ці питання детально обговорюються в нашій нещодавній публікації в блозі.

Зловмисники генерують колекцію всіх цих передбачуваних приватних ключів та відповідних їм адрес, і щоразу, коли транзакція для надсилання коштів на будь-яку з цих адрес знаходиться в мемпулі, вони негайно швидко надсилають наступні транзакції, щоб переказати ці кошти на свою адресу.

Це останнє припущення пояснює все: негайна реакція («CPFP» вище) і непомірні збори – це те, що зловмисники повинні зробити, щоб перемогти інших зловмисників. «Фіксований» характер комісії (60%) обумовлений автоматичним характером операції, яка необхідна для того, щоб перемогти інші сторони. Відключення RBF – це ще один механізм, який використовують зловмисники, щоб збільшити свої шанси на перемогу над іншими сторонами.

Це припущення також узгоджується з минулою поведінкою адреси на стороні одержувача транзакції з надмірно високою комісією. Багато транзакцій, які надходять на адресу, мають ті ж характеристики, що й ця транзакція з високою комісією (хоча й не така прибуткова, як ця багатомільйонна транзакція).

Поведінка зловмисників послідовна (джерело: X/Twitter).

Цей висновок, звичайно, є дуже страшним і сміливим поясненням, яке вимагає додаткових доказів. **

4. Докази

Щоб перевірити наші заяви, ми вирішили згенерувати передбачуваний приватний ключ, відправити на нього кошти та спостерігати за результатами. Якщо наші припущення вірні, то кошти повинні бути вкрадені негайно. Щоб створити невипадковий приватний ключ і отримати згенеровану адресу, ми використовували популярний веб-інструмент Яна Клоемана (який добре працював і в минулому).

Встановіть закритий ключ на “1” (зауважте, що згенерована мнемонічна фраза в основному складається зі слова “abandon” з індексом 0)

За допомогою цього інструменту ми встановили закритий ключ на “1” і отримали згенеровану адресу: bc1q4jgysxym8yvp6khka878njuh8dem4l7mneyefz. Ми перевірили, що він не використовувався раніше, щоб виключити інші можливі пояснення.

Потім ми відправили транзакцію на $10 на цю адресу… Як і очікувалося, ми з’ясували, що за цим послідувала непомірна комісія (5 доларів США, або 50%), яка перенаправила кошти на іншу адресу!

Крім того, ми спостерігали жорстку конкуренцію між кількома сторонами, які намагалися отримати перевагу через RBF з вищими комісіями, які навіть становили майже 99% коштів, але ці спроби не увінчалися успіхом через те, що перша транзакція вивела RBF з ладу.

4 транзакції RBF, остання з яких пропонувала 9,87 долара із загальної суми 10 доларів як комісію.

5. Висновок: монстри існують

Якщо початкова фраза або приватний ключ користувача згенеровані передбачуваним чином або піддаються небажаній випадковості, вони будуть використані, як тільки зловмисник дізнається точні деталі передбачуваної генерації. **

Як ми докладно описали в нашій нещодавній публікації в блозі, проблема безпечної генерації ключів у криптогаманцях ігнорується більшістю користувачів, але вона виявляється проблемою, яка мучить гаманці та спричиняє величезні збитки.

Оскільки користувачі не можуть генерувати власні приватні ключі, але вони не можуть довести, що приватні ключі є випадковими, користувачі не можуть перевірити випадковість своїх ключів і повинні довіряти своїм гаманцям.

Ця проблема є ще одним проявом більшої основної проблеми, яка покладається на односторонні гаманці. Для того, щоб вирішити цю основну проблему, а також конкретну проблему випадковості, ми повинні прийняти той факт, що користувачі повинні довіряти деяким зовнішнім сутностям і перейти до більш надійної архітектури, яка знижує довіру до кожної залученої сторони, збільшуючи кількість залучених сторін. **

Додавання учасників може знизити довіру, необхідну для кожного учасника, і зробити систему більш надійною (докладніше див. нашу нещодавню публікацію в блозі).