Il concetto di una “foresta oscura” nella blockchain è stato diffuso recentemente da Ethereum, indicando l’esistenza di bot che anticipano le mosse copiando qualsiasi transazione redditizia in sospeso.
I bot sono in grado di valutare se una qualsiasi transazione arrivata nella mempool può essere replicata, e inizieranno immediatamente a pubblicare una copia con commissioni molto più alte, garantendo di fatto che saranno i primi a reclamarla. L’espressione “foresta oscura” è ispirata a un racconto di fantascienza e rappresenta un luogo in cui il riconoscimento significa una morte immediata, o in questo caso la perdita di fondi.
Su Ethereum, in genere questo avviene con smart contract pubblici che per qualche ragione hanno il controllo di fondi. Dan Robinson, di Paradigm Capital, ha dimostrato un caso di questo tipo con fondi inviati per sbaglio all’indirizzo di un contratto. Inoltre, a giugno questi bot hanno ostacolato il piano di mitigazione delle vulnerabilità attuato da Bancor.
Bitcoin (BTC) non ha smart contract da anticipare, ma un post di BitMEX Research sottolinea come un evento simile si verifica quando un utente usa brain wallet.
Il termine brain wallet indica una chiave privata conservata solo a memoria nel cervello di una persona, quindi non esiste alcun backup fisico. Questo approccio viene generalmente sconsigliato in quanto fare affidamento sulla memoria di una persona per conservare una complessa stringa alfanumerica non è ideale.
Una potenziale soluzione a questo problema è creare un wallet da un seed facile da ricordare. Questo è ciò che hanno fatto gli analisti, generando una seed phrase da estratti di opere letterarie famose, incluso il white paper di Bitcoin.
Sfortunatamente, in alcuni casi i BTC trasferiti su questi wallet sono stati spazzati via ancora prima che la transazione per finanziarli venisse confermata. Questo è stato il caso con seed semplici come “Call me Ishmael” dal libro Moby Dick di Herman Melville. Altri brani più complessi sono stati comunque identificati nel giro di un giorno, mentre la frase “The network is robust in its unstructured simplicity” presa dal white paper di Bitcoin è durata più a lungo.
Gli analisti hanno concluso che gli indirizzi generati da seed composti da parole e frasi di dominio pubblico sono completamente compromessi e vengono costantemente monitorati.
Come già segnalato da Cointelegraph, la blockchain rende difficile usare qualsiasi tipo di meccanismo di generazione basato su password. Le password su piattaforme tradizionali sono in larga misura protette dalla loro archiviazione su un database segreto. I criminali devono interagirvi per indovinarle, ma il server stabilirà in genere un limite di tentativi. Inoltre, dover effettuare una richiesta web per tirare a indovinare è già molto più lento dell’hashing di combinazioni memorizzate in locale.
Le chiavi private blockchain possono invece essere pre-generate da enormi database di dizionari, rendendo gli hacker i proprietari effettivi di tali indirizzi. Ci sono modi per mitigare queste vulnerabilità usando “sale”, ovvero frammenti di dati casuali aggiunti per confondere i tentativi di brute force. Tuttavia, il problema fondamentale dei brain wallet è che qualsiasi indirizzo sufficientemente resistente agli attacchi brute force sarà probabilmente difficile da ricordare in modo sicuro.
Ci sono molte storie di persone che perdono i propri BTC dopo aver dimenticato la chiave privata che avevano precedentemente memorizzato, con una perdita significativa da 13 milioni di dollari segnalata nel 2019, anche se qualcuno crede sia falsa. Il network di Ethereum è probabilmente soggetto allo stesso tipo di attacchi brute force sulle chiavi private, con milioni di dollari in Ether (ETH) rubati nel corso degli anni.