Хакеры не смогли вывести с кошелька ETH, несмотря на доступность приватного ключа
-
Кошелек с 1 ETH не поддался хакерам, несмотря на доступность приватного ключа. Об этом написал один из пользователей Reddit.
Он предложил сообществу вывести 1 ETH со своего кошелька и любезно предоставил приватный ключ для этого.Спустя 20 минут с момента публикации сообщения один из участников дискуссии заявил, что он впечатлен, и поделился деталями транзакции. Предпринятая «хакером» попытка, однако, не увенчалась успехом. Указанная им транзакция так и не была добавлена в блокчейн, а активы с первичного адреса в тот же момент были переведены на адрес, который был назван автором оригинального сообщения «кошельком безопасности».
Для воплощения замысла автор использовал метод замены по комиссии (Replace by fee или RBF), заранее подписав транзакцию, но не передав ее в сеть. Он также, предположительно, запустил «слушающую» ноду, чтобы отслеживать все действия со своим основным кошельком. Как только кто-то попытался вывести его активы, он передал в сеть свою транзакцию, которая благодаря более высокой комиссии была выбрана майнерами в качестве приоритетной и добавлена в блок вместо транзакции «хакера».
Реализация этого метода требует выполнения нескольких условий. Очевидно, майнеры могут добавить в блокчейн транзакцию с более низкой комиссией, которая появилась раньше, однако, как правило, они этого не делают. Кроме того, защищающий таким образом кошельки пользователь должен быть уверен в своей способности своевременно передать предварительно подписанную транзакцию в сеть, особенно сейчас, когда время блока Ethereum снова вернулось к 12 секундам.
На решение этой задачи и направлен разработанный автором сервис, который предлагает передать ему подписанную вне сети транзакцию с указанным в качестве получателя безопасным адресом, куда отправятся активы в случае вмешательства извне. При этом подписание транзакции должно проводиться на стороне пользователя без передачи приватного ключа владельцу сервиса.
Автор признает, что в этом случае он установил максимальный размер комиссии на одну из своих предварительно подписанных транзакций в 45 000 gwei или чуть больше 1 ETH. Практический сценарий, поясняет он, должен рассматриваться через призму теории игр. Какую сумму будет готов выделить злоумышленник, чтобы узнать, защищен ли кошелек при помощи указанного метода? Будет ли он вообще пытаться взломать его, если узнает о защите? Пойдет ли он на преступление, если будет знать, что в итоге выручит только, предположим, 10% от содержащейся на кошельке суммы?
Это решение, как и любое другое, само по себе не дает полной гарантии от взлома, но позволяет добавить дополнительный уровень защиты. С ним же, однако, возникают и дополнительные риски централизации, если, например, злонамеренный сотрудник сервиса решит исполнить транзакцию пользователя без необходимости и сожжет активы, выделенные в качестве комиссии.
-
а могли бы хакеру думаю и больше там поставить плату и ушли бы деньги к ним...
-
методы защиты нужно совершенствовать, так как слишком много взломов наблюдается.
-
Участник @ivan-ivanov написал в Хакеры не смогли вывести с кошелька ETH, несмотря на доступность приватного ключа:
методы защиты нужно совершенствовать, так как слишком много взломов наблюдается.
ну тут взлома как бы и не было... человек сам предложил свой ключ.
-
@ivan-ivanov Ну взломов локальных кошельков я что-то не припомню.
-
Участник @garryncha написал в Хакеры не смогли вывести с кошелька ETH, несмотря на доступность приватного ключа:
@ivan-ivanov Ну взломов локальных кошельков я что-то не припомню.
да его и ломать не нужно
только ключ скопировать -
@casio я это понял, просто тестирование технологии. просто потом это нужно будет внедрять в обычные кошельки.
-
Участник @ivan-ivanov написал в Хакеры не смогли вывести с кошелька ETH, несмотря на доступность приватного ключа:
@casio я это понял, просто тестирование технологии. просто потом это нужно будет внедрять в обычные кошельки.
да тут просто глюк использовали сети ...
-
@casio метод замены по комиссии - это разве глюк?
-
Как такой способ защиты и для чего можно использовать постоянно?
-
@cryptomax могут его для пользователей внедрить, если доработают.