Bitcoin боты опустошают скомпрометированный кошелек в войне комиссий RBF

Согласно сообщению пользователя X, жадные боты развязали войну транзакций, в ходе которой Bitcoin были отправлены на взломанный кошелек.

Боты попытались опустошить кошелек после обнаружения внесенных средств. Приватный ключ скомпрометированного кошелька представляет собой идентификатор транзакцииdenttxid). В частности, это txid Coinbase блока 924982.

Боты используют уязвимость закрытого ключа

Данные блокчейна показывают, что боты Bitcoin вывели средства из взломанного кошелька в течение нескольких минут.

Кошелек SegWit получил 0,00020305 BTC в результате двух транзакций. Однако в итоге баланс оказался нулевым, и неизрасходованных выходов не осталось. Каждый входящий BTC был быстро потрачен ботами.

Первая транзакция отправила 0,00018209 BTC на указанный адрес. В тот же момент времени средства были потрачены в отдельной транзакции с комиссией 12,8 сатоши/vB. Скорость расходования средств указывает на автоматический перевод.

Второй депозит добавил 0,00002096 BTC. Средства были снова списаны почти сразу. Бот заплатил 4,80 сат/вБ, а затем отправил 0,00001572 BTC на внешний адрес.

Боты постоянно отслеживают мемпул Bitcoinна предмет депозитов, отправленных на кошельки, созданные с помощью слабых или общеизвестных закрытых ключей. Мемпул bitcoin — это зона ожидания для неподтвержденных транзакций.

Как только средства поступят на счет, боты уже будут контролировать закрытый ключ и смогут мгновенно подписывать транзакции по выводу средств.

Боты мгновенно отправляют транзакции замены комиссий (RBF), чтобы конкурировать, повышая комиссию для майнеров за подтверждение вывода средств.

RBF, или замена по комиссии, — это политика узла, которая позволяет ботам заменять неподтвержденную транзакцию новой транзакцией, предусматривающей более высокую комиссию для майнеров.

Данные о комиссиях в блокчейне показывают резкие скачки в ставках сатоши за байт (sat/vB). Это указывает на замену транзакций версиями с более высокой комиссией.

В конечном итоге подтверждается только одна транзакция, в то время как конкурирующие версии отменяются или заменяются.

Наблюдать за тем, как жадные боты совершают всё более агрессивные транзакции, может быть довольно забавно.

«Иногда я отправляю небольшие транзакции на взломанные кошельки, просто чтобы полюбоваться красотой этих автоматизированных RBF-сообщений», — написал Brevsolution на X.

Однако некоторые люди отправляют крупные суммы на скомпрометированные кошельки, и причина этого неясна. «Мне бы очень хотелось узнать, почему это происходит», — сказал Оттош на X. Такие транзакции могут быть ошибкой со стороны отправителя.

В ноябре 70 000 долларов были неосторожно отправлены на кошелек, привязанный к предсказуемому закрытому ключу. Компания Brevsolution объяснила, что боты реагируют мгновенно и используют алгоритм RBF для сокращения транзакций до одного сатоши. Это приводит к тому, что боты платят почти 100% от внесенных BTC в виде комиссий.

Приватные ключи Bitcoin могут быть скомпрометированы

Слабые закрытые ключи и сид-фразы могут быть взломаны. Они предсказуемы, как простые пароли.

Надежное хранение закрытого ключа имеет решающее значение для защиты BTC. Раскрытие его или любых других связанных данных часто приводит к быстрой краже со стороны хакеров.

Использование идентификатора транзакции (txid) для хеширования закрытого ключа не обеспечивает достаточной энтропии для защиты закрытых ключей.

Bitcoin можно получить Публичный адрес из хешей блоков и идентификаторов транзакций (txid).

Любой идентификатор транзакции (txid) или хеш блока представляет собой допустимое 256-битное число и технически может использоваться в качестве закрытого ключа.

Боты используют это в своих целях, предварительно вычисляя адреса на основе известных общедоступных данных. Затем они постоянно следят за этими адресами и мгновенно их обнуляют.