A blockchain adattömböket nyilvántartó internetes rendszere a teljes hitelességet és követhetőséget igyekszik elérni központi felügyeleti szerv nélkül. Ennek egyik hátulütőjét nemrég fedezték fel, amikor egy amerikai biztonsági cég rátalált a Blockchain Banditára, aki annyi Ethereumot halászott össze a gyanútlan felhasználóktól, ami az árfolyam csúcspontján 15 milliárd forintot ért.
Habár tíz éve indult a kereskedés a bitcoinnal, az elmúlt években vált csak igazán központi témává. Ugyan a kezdetekkor még 200 forintot sem ért, a csúcson, 2017 karácsonyán egy bitcoint több, mint 5 millió forintért lehetett venni. Ma már csupán másfél millió forint darabja. A bitcoin népszerűségén és korai szárnyalásán felbuzdulva sorra jöttek az újabb és újabb kriptovaluták, mint például az Ethereum, ami hasonló, bár valamivel diszkrétebb ívet járt be. Ugyan a 2017-2018-as csúcshoz képest jelentősen zuhant a kriptovaluták értéke, de még mindig kifizetődő a kriptobűnözés.
A WIRED írt Adrian Bednarekről, egy amerikai biztonsági tanácsadóról, aki egy kliense kérésére sérülékenységeket keresett az Ethereum kulcsrendszerén. Az Ethereum-kereskedéshez a felhasználónak szüksége van egy virtuális pénztárcára, amihez kap egy nyilvános kulcsot (egy hosszú betű-szám kombináció, gyakorlatilag olyan, mint egy bankszámlaszám), valamint egy privát kulcsot (szintén hosszú számsor, ami a tranzakciók engedélyezésére szolgál). Bednarekben felmerült, hogy előfordulhat, hogy néhány felhasználó az "12345" jelszó Ethereum privát kulcs-megfelelőjével védi a tárcáját, ami komoly biztonsági kockázatot jelent.
A gyanú megalapozottnak bizonyult: megtalálta a kódhoz tartozó tárcát, ami valamikor még pénzt is tartalmazott, melyet feltehetőleg elhalászott valaki, aki szintén rátalált a kiskapura. A sikeren felbuzdulva kipróbált hasonlóan egyszerű kombinációkat, és minddel kiürített fiókokat talált. Az Independent Security Evaluators-zös (ISE) kollégáival írtak egy szoftvert, amivel több milliárd kulcsot generáltak és próbáltak ki.
A kedden kiadott tanulmányuk szerint arra jutottak, hogy több száz felhasználó privát kulcsa könnyen kitalálható, és ezt egy Ethereum-fiók birtokosa már ki is használta. Őt nevezték el Blockchain Banditának, aki (vagy akik) az ISE kutatása szerint csak a vizsgált, gyenge biztonságú fiókok közül 12-ről húzott le Ethereumot. A Bandita számláján 45 ezres gyűjteményt találtak, ami átszámítva 15 milliárd forintot ért a valuta csúcspontján. A mai árfolyamon kb. 2,2 milliárd forint az értéke.
Ugyanazzal próbálkozott, mint mi, csak sokkal lelkesebb volt.
- mondta Bednarek a Wirednek.
Annak az esélye, hogy kitaláljunk egy véletlenszerűen generált privát kulcsot, nagyjából 1 a 115 bidecilliárdhoz (115x10^75), ami ahhoz hasonló, mint keresni egy homokszemet egy tengerparton, majd megkérni egy haverunkat, hogy találja meg ő is ugyanazt a homokszemet, több milliárd partot átkutatva.
Bednarek szerint számos oka lehet a kulcsok gyengeségének. Előfordulhat, hogy a kulcs generálásakor a pénztárca egy hiba miatt rövidebb kódot állít ki, vagy akár a pénztárca fejlesztője is elrejthetett kártékony elemeket a kulcsgenerátor program kódjában, hogy később könnyebben feltörhesse a fiókokat. Persze azt sem lehet kizárni, hogy néhány felhasználó magának írta a kulcsot, ami emiatt gyengébbre sikerült.
Hogy tesztelje az elméletét, Bednarek rárakott 1 dollárnyi Ethereumot egy gyenge kulcsú számlára, amit pillanatokon belül le is nyúlt a Bandita. Ezek után feltett 1 dollárt egy másik, hasonló fiókra, amelyről megint azonnal eltűnt a pénz, de ezúttal egy másik tolvaj számlájára került. A függő tranzakciók listáján látta, hogy a kisebb hal töredék másodpercekkel volt csak gyorsabb, mint a Bandita. Ezekből az információkból arra következtet, hogy több tolvaj is rendelkezik listákkal, amiket folyton próbálgatnak, emberfeletti sebességgel, automatizált programok segítségével.
A Bandita fiókját megfigyelve feltűnik, hogy csak a számlájára történt utalás, a számláról kifelé soha.
A tolvaj felhalmozott egy vagyont, amit azonnal elveszített, ahogy összeomlott a piac.
- foglalta össze a helyzetet a biztonsági szakértő.
Ugyan valóban az igazság helyreállásának tűnhet, hogy a tolvaj elvesztette zsákmánya értékének nagy részét, de ne feledjük, még így is 2,2 milliárd forintnyi Ethereum ül a szegény Bandita számláján.
Mivel az egész blockchain rendszer lényege az, hogy nincs felügyelő szerv, tulajdonképpen panasztételre sincs lehetőség. Ha a kriptovaluta elhagyta a számlánkat, senki nem tudja törölni a tranzakciót. Talán ez is hozzájárult a tavalyi értékzuhanáshoz. Bárhogy is nézzük, a rendszer igazi vesztese az úriember, aki 2010-ben 10 ezer Bitcoinért vett két nagy pizzát 30 dollár, azaz 8500 forintos értékben. Egy szelet abból a pizzából ma 1,1 milliárd forintot érne. A pizzavásárló Laszlo Hanyecz valószínűleg elsőként bizonyította a kriptovaluta létjogosultságát, és tettével megihlette a Bitcoin Pizza Napot, aminek 8. évfordulója kevesebb, mint egy hónap múlva lesz, május 22.-én.