Согласно сообщению пользователя X, жадные боты развязали войну транзакций, в ходе которой Bitcoin были отправлены на взломанный кошелек.
Боты попытались опустошить кошелек после обнаружения внесенных средств. Приватный ключ скомпрометированного кошелька представляет собой идентификатор транзакцииdenttxid). В частности, это txid Coinbase блока 924982.
Боты используют уязвимость закрытого ключа
Данные блокчейна показывают, что боты Bitcoin вывели средства из взломанного кошелька в течение нескольких минут.
Кошелек SegWit получил 0,00020305 BTC в результате двух транзакций. Однако в итоге баланс оказался нулевым, и неизрасходованных выходов не осталось. Каждый входящий BTC был быстро потрачен ботами.
Первая транзакция отправила 0,00018209 BTC на указанный адрес. В тот же момент времени средства были потрачены в отдельной транзакции с комиссией 12,8 сатоши/vB. Скорость расходования средств указывает на автоматический перевод.
Второй депозит добавил 0,00002096 BTC. Средства были снова списаны почти сразу. Бот заплатил 4,80 сат/вБ, а затем отправил 0,00001572 BTC на внешний адрес.
Боты постоянно отслеживают мемпул Bitcoinна предмет депозитов, отправленных на кошельки, созданные с помощью слабых или общеизвестных закрытых ключей. Мемпул bitcoin — это зона ожидания для неподтвержденных транзакций.
Как только средства поступят на счет, боты уже будут контролировать закрытый ключ и смогут мгновенно подписывать транзакции по выводу средств.
Боты мгновенно отправляют транзакции замены комиссий (RBF), чтобы конкурировать, повышая комиссию для майнеров за подтверждение вывода средств.
RBF, или замена по комиссии, — это политика узла, которая позволяет ботам заменять неподтвержденную транзакцию новой транзакцией, предусматривающей более высокую комиссию для майнеров.
Данные о комиссиях в блокчейне показывают резкие скачки в ставках сатоши за байт (sat/vB). Это указывает на замену транзакций версиями с более высокой комиссией.
В конечном итоге подтверждается только одна транзакция, в то время как конкурирующие версии отменяются или заменяются.
Наблюдать за тем, как жадные боты совершают всё более агрессивные транзакции, может быть довольно забавно.
«Иногда я отправляю небольшие транзакции на взломанные кошельки, просто чтобы полюбоваться красотой этих автоматизированных RBF-сообщений», — написал Brevsolution на X.
Однако некоторые люди отправляют крупные суммы на скомпрометированные кошельки, и причина этого неясна. «Мне бы очень хотелось узнать, почему это происходит», — сказал Оттош на X. Такие транзакции могут быть ошибкой со стороны отправителя.
В ноябре 70 000 долларов были неосторожно отправлены на кошелек, привязанный к предсказуемому закрытому ключу. Компания Brevsolution объяснила, что боты реагируют мгновенно и используют алгоритм RBF для сокращения транзакций до одного сатоши. Это приводит к тому, что боты платят почти 100% от внесенных BTC в виде комиссий.
Приватные ключи Bitcoin могут быть скомпрометированы
Слабые закрытые ключи и сид-фразы могут быть взломаны. Они предсказуемы, как простые пароли.
Надежное хранение закрытого ключа имеет решающее значение для защиты BTC. Раскрытие его или любых других связанных данных часто приводит к быстрой краже со стороны хакеров.
Использование идентификатора транзакции (txid) для хеширования закрытого ключа не обеспечивает достаточной энтропии для защиты закрытых ключей.
Bitcoin можно получить Публичный адрес из хешей блоков и идентификаторов транзакций (txid).
Любой идентификатор транзакции (txid) или хеш блока представляет собой допустимое 256-битное число и технически может использоваться в качестве закрытого ключа.
Боты используют это в своих целях, предварительно вычисляя адреса на основе известных общедоступных данных. Затем они постоянно следят за этими адресами и мгновенно их обнуляют.
