Come recentemente riportato, un sistemista avrebbe decifrato una seed phrase aggiudicandosi una taglia di 100.000 Satoshi, ovvero 0,001 Bitcoin (BTC), per un valore di 29$, in poco meno di mezz'ora. Cointelegraph ha intervistato Andrew Fraser di Boston, il quale sottolinea come sia fondamentale mantenere la seed phrase di un wallet Bitcoin al sicuro e offline.
Una seed phrase o frase di recupero è una stringa di parole casuali generata al momento della creazione di un wallet che permette di accedere al wallet stesso, simile a una master key. Fraser ha forzato brutalmente una seed phrase di 12 parole che lo studioso di Bitcoin "Wicked Bitcoin" ha condiviso su Twitter:
Qualcuno vuole provare a forzare questa frase di 12 parole che assicura 100.000 satoshi? Vi darò tutte e 12 le parole, ma in ordine sparso. Percorso di derivazione standard m/84'/0'/0'... niente trucchi. Buona fortuna.
Anyone want to try and brute force this 12-word seed phrase securing 100,000 sats? I’ll give you all 12 words but in no particular order. Standard derivation path m/84'/0'/0'…no fancy tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— Wicked (@w_s_bitcoin) April 26, 2023
Come mostrato, il Tweet di Wicked invitava gli utenti a decifrare l'ordine corretto della sequenza di 12 parole.
Ci sono voluti solo 25 minuti per sbloccare i 100.000 Satoshis, ovvero poco meno di 30$. Questo episodio serve a ricordare agli utenti di Bitcoin e agli appassionati di criptovalute di prendere sul serio la sicurezza delle proprie criptovalute.
Fraser ha decifrato il codice utilizzando BTCrecover, un'applicazione software disponibile su GitHub. Il software offre una serie di strumenti in grado di determinare le seed phrases con mnemotecniche mancanti o criptate e utility di passphrase-cracking. Su Twitter, Fraser ha riferito a Cointelegraph:
"La mia GPU da gaming è stata in grado di determinare l'ordine corretto della seed phrase in circa 25 minuti. Anche se un sistema più performante sarebbe riuscito a farlo molto più velocemente".
Ha evidenziato che chiunque abbia una conoscenza di base dell'esecuzione di script Python, dell'uso delle shell di comando di Windows e della comprensione del protocollo Bitcoin – in particolare dei mnemonici BIP39 – dovrebbe essere in grado di replicare il risultato ottenuto.
Cointelegraph ha richiesto a Fraser informazioni sulla protezione delle seed key di 12 parole. Fraser ha chiarito che sono "perfettamente sicure se le parole rimangono sconosciute a un attaccante o se c'è una passphrase '13a seed word' usata nel percorso di derivazione del wallet".
Inoltre, ha sottolineato la sicurezza superiore delle seed key a 24 parole.
"Anche se un aggressore conoscesse le parole non in ordine della vostra seed key di 24 parole, non avrebbe alcuna speranza di individuare la seed corretta".
Fraser ha scomposto i calcoli dell'entropia per illustrare la differenza di sicurezza tra i due tipi di seed key. Una seed key di 12 parole ha circa 128 bit di entropia, mentre quella di 24 parole vanta 256 bit. Quando un attaccante conosce le parole non ordinate di una seed a 12 parole, ci sono solo circa mezzo miliardo di combinazioni possibili, che è relativamente facile da testare con una GPU decente. Una seed di 24 parole, invece, ha circa 6,24^24 combinazioni possibili, ovvero un sacco di zeri.
Anche la probabilità che un aggressore riesca a decifrare una frase seed di 12 parole è al limite dell'assurdo. Le seed phrase di 24 parole possono essere superiori, ma come sottolinea Wicked in un articolo successivo alla sfida per le seed phrase, "non saranno violate, in realtà".
Nella remota possibilità che qualcuno trovi la vostra seed phrase tagliata e non in ordine, allora sì, lol.
In the off chance that someone finds your seed phrase cut up and out of order, then yes lol.
— Wicked (@w_s_bitcoin) April 27, 2023
In definitiva, si tratta di un promemoria che ricorda ai lettori di assicurarsi che le seed phrase non vengano mai pubblicate o condivise online. Ciò significa che una seed phrase non dovrebbe essere memorizzata in un gestore di password, in una soluzione di archiviazione cloud e certamente non dovrebbe essere digitata su uno smartphone.
Fraser ha anche sottolineato l'importanza di mantenere segrete le seed key e di sfruttare una passphrase che funzioni come parte del percorso di derivazione. Per quanto riguarda i 100.000 Sats che Fraser si è portato a casa? Fraser ha twittato che li ha spesi per la cena di quella sera: Pollo al Marsala. A proposito di economia circolare.
Traduzione a cura di Walter Rizzo