{"id":898,"title":"TJ \u0438\u0449\u0435\u0442 \u0432\u044b\u043f\u0443\u0441\u043a\u0430\u044e\u0449\u0435\u0433\u043e \u043f\u0440\u043e\u0434\u044e\u0441\u0435\u0440\u0430 ","url":"\/redirect?component=advertising&id=898&url=https:\/\/vc.ru\/team\/314459-vypuskayushchiy-prodyuser-kreativnogo-otdela&placeBit=1&hash=e8e6208209f23dc0b7bdca9c959ff3fbf2cab5941837947deea53190fbefb7be","isPaidAndBannersEnabled":false}
Олег Шпачук

«Хакер» не смог вывести 1 ETH, несмотря на доступность приватного ключа

Один из пользователей Reddit предложил сообществу вывести 1 ETH со своего кошелька и даже любезно предоставил приватный ключ для этого.

Через 20 минут с момента публикации сообщения один из участников дискуссии написал, что он впечатлён, и поделился деталями транзакции. Попытка «хакера» не удалась. Транзакция, которую он создал, так и не была добавлена в блокчейн, но в тот же момент активы с первичного адреса были переведены на адрес, который был назван автором оригинального сообщения «кошельком безопасности».

Для воплощения замысла автор использовал метод замены комиссии, заранее подписав транзакцию, но не передав её в сеть. Он также, предположительно, запустил «слушающую» ноду, чтобы отслеживать все действия со своим основным кошельком. Сразу после попытки “хакера” вывести его активы, в сеть была передана его личная транзакция, а не “хакера”, которую благодаря более высокой комиссии майнеры выбрали приоритетной и добавили в блок вместо транзакции «хакера».

Требуется выполнения нескольких условий, чтобы этот метод был реализован. Майнеры могут добавить в блокчейн транзакцию с более низкой комиссией, которая появилась раньше, но, как правило, они так не делают. Помимо этого, пользователь, который хочет защитить таким образом кошельки должен быть уверен в своей способности своевременно передать предварительно подписанную транзакцию в сеть. Особенно это актуально сейчас, когда время блока Ethereum снова вернулось к 12 секундам.

Эту задачу и решает разработанный автором сервис, который предлагает передать ему подписанную вне сети транзакцию с указанным в качестве получателя безопасным адресом, куда отправятся активы в случае вмешательства извне. При этом подписание транзакции должно проводиться на стороне пользователя без передачи приватного ключа владельцу сервиса.

Автор публикации признаёт, что в данном случае он установил максимальный размер комиссии на одну из своих предварительно подписанных транзакций в 45 000 gwei или чуть больше 1 ETH. Сценарий применения этого метода, поясняет он, должен рассматриваться через призму теории игр. Какую сумму будет готов потратить злоумышленник, чтобы узнать, защищён ли кошелёк при помощи указанного метода? Станет ли он вообще пытаться взломать его, если узнает о защите? Пойдёт ли он на преступление, если будет знать, что в итоге выручит только, предположим, 10% от содержащейся на кошельке суммы?

Этот метод защиты, как и любой другой, сам по себе не даёт полной гарантии от взлома, одна позволяет установить дополнительный уровень защиты. Но с ним же, появляются и дополнительные риски централизации, если, например, злонамеренный сотрудник сервиса решит исполнить транзакцию пользователя без необходимости и сожжёт активы, выделенные в качестве комиссии.

Источник Reddit

bitcoin #биткоин #криптовалюта #cryptocurrency #btc #блокчейн #blockchain #криптоиндустрия #крипторынок #Ethereum #ETH #взлом #защита #приватныйключ

0
2 комментария
Популярные
По порядку

Комментарий удален

Комментарий удален по просьбе пользователя

0

Что за идиотизм? Какая это вообще защита? Автор сам себя переиграл? ред.

0
Читать все 2 комментария
null