Laut einem Beitrag von X haben gierige Bots einen RBF-Transaktionskrieg um Bitcoin gestartet, die an eine kompromittierte Wallet gesendet wurden.
Die Bots versuchten, die Wallet zu leeren, nachdem sie die eingezahlten Gelder erkannt hatten. Der private Schlüssel der kompromittierten Wallet ist eine Transaktions-dent(txid). Genauer gesagt handelt es sich um die Coinbase-txid von Block 924.982.
Bots nutzen offengelegte private Schlüssel aus
On-Chain-Daten zeigen, dass Bitcoin Bots innerhalb weniger Minuten die Gelder aus der kompromittierten Wallet abgezogen haben.
Die SegWit-Wallet empfing 0,00020305 BTC durch zwei Transaktionen. Am Ende wies sie jedoch einen Kontostand von Null auf und hatte keine ungenutzten Ausgaben mehr. Alle eingehenden BTC -Transaktionen wurden umgehend von Bots ausgegeben.
Die erste Transaktion übertrug 0,00018209 BTC an die Adresse. Zum selben Zeitpunkt wurden die Gelder in einer separaten Transaktion mit einer Gebühr von 12,8 Sat/vB ausgegeben. Die Ausgabegeschwindigkeit deutet auf eine automatisierte Transaktion hin.
Die zweite Einzahlung ergab 0,00002096 BTC. Das Geld wurde fast sofort wieder abgehoben. Der Bot zahlte 4,80 Sat/vB und überwies anschließend 0,00001572 BTC an eine externe Adresse.
Bots überwachen kontinuierlich den Bitcoin-Mempool auf Einzahlungen an Wallets, die von schwachen oder öffentlich bekannten privaten Schlüsseln abgeleitet sind. Der bitcoin Mempool ist ein Wartebereich für unbestätigte Transaktionen.
Sobald die Gelder eintreffen, haben die Bots bereits die Kontrolle über den privaten Schlüssel und können Auszahlungstransaktionen sofort signieren.
Bots senden sofort Replace-by-Fee (RBF)-Transaktionen, um durch höhere Gebühren für die Miner, die eine Auszahlung genehmigen müssen, im Wettbewerb zu stehen.
Eine RBF- oder Replace-by-Fee-Richtlinie ist eine Knotenrichtlinie, die es Bots erlaubt, eine unbestätigte Transaktion durch eine neue Transaktion zu ersetzen, die eine höhere Gebühr an die Miner zahlt.
Die On-Chain-Gebührendaten zeigen plötzliche Sprünge bei den Satoshi-pro-Byte-Raten (Sat/vB). Dies deutet darauf hin, dass Transaktionen durch Versionen mit höheren Gebühren ersetzt werden.
Nur eine Transaktion wird letztendlich bestätigt, während konkurrierende Versionen verworfen oder ersetzt werden.
Es kann durchaus unterhaltsam sein, gierigen Bots dabei zuzusehen, wie sie immer aggressivere RBF-Transaktionen durchführen.
„Manchmal sende ich kleine Transaktionen an kompromittierte Wallets, nur um die Schönheit dieser automatisierten RBFs zu sehen“, sagte Brevsolution auf X.
Manche Nutzer senden jedoch größere Beträge an kompromittierte Wallets, und der Grund dafür ist unklar. „Ich würde wirklich gerne wissen, warum das passiert“, sagte Ottosch auf X. Solche Transaktionen könnten auf einem Fehler des Absenders beruhen.
Im November wurden 70.000 US-Dollar leichtfertig an eine Wallet mit einem vorhersehbaren privaten Schlüssel überwiesen. Brevsolution erklärte, dass Bots sofort reagieren und RBF nutzen, um Transaktionen auf einen Satoshi zu reduzieren. Dadurch zahlen die Bots fast 100 % der eingezahlten BTC an Gebühren.
Bitcoin Privatschlüssel könnten kompromittiert sein
Schwache private Schlüssel und Seed-Phrasen können gehackt werden. Sie sind so vorhersehbar wie einfache Passwörter.
Die sichere Aufbewahrung des privaten Schlüssels ist unerlässlich, um BTC zu schützen. Die Offenlegung dieses Schlüssels oder anderer damit verbundener Daten führt häufig zu einem schnellen Diebstahl durch Hacker.
Die Verwendung einer Transaktions-ID (txid) zum Hashen eines privaten Schlüssels liefert nicht genügend Entropie, um die privaten Schlüssel zu sichern.
Bitcoin Privatschlüssel sind lediglich Zahlen. Es ist möglich, eine öffentliche Adresse und private Schlüssel aus Block-Hashes und Transaktions-IDs (txids) abzuleiten.
Jeder Transaktions-ID- oder Block-Hash ist eine gültige 256-Bit-Zahl und kann technisch als privater Schlüssel verwendet werden.
Bots nutzen dies aus, indem sie Adressen anhand bekannter öffentlicher Daten vorab berechnen. Anschließend überwachen sie diese Adressen unbegrenzt und leeren deren Konten sofort.
