Как показывают последние исследования, когда дело доходит до паролей, Bitcoin-активисты мало чем отличаются от рядовых интернет-пользователей и придумывают очень предсказуемые ключевые фразы.

Для большей надежности многие пользователи криптовалюты предпочитают хранить пароли в так называемых «мозговых кошельках». «Мозговые кошельки» работают следующим образом: пользователь придумывает фразу, прогоняет ее через хеш-функцию, и в результате получается строка случайно выглядящих чисел. Именно данная строка используется в качестве секретного ключа для Bitcoin-адреса. Таким образом, не нужно запоминать секретный ключ - достаточно помнить фразу. Однако, согласно исследованиям, пользователи выбирают очень ненадежные фразы.

Эксперты Университетского колледжа Лондона Николя Куртуа (Nicolas Courtois) и Гуанъянь Сон (Guangyan Song) совместно с Райаном Кастеллуччи (Ryan Castellucci) из компании White Ops провели анализ используемой в Bitcoin и других криптовалютах эллиптической кривой secp256k1 и пришли к весьма неутешительным выводам.

По заверению исследователей, им удалось извлечь свыше 18 тыс. паролей к Bitcoin-кошелькам с помощью инстанса Amazon EC2 m4.4xlarge. Как часто бывает, определить ключевую фразу оказалось довольно просто в виду ее предсказуемости. Исследователи обнаружили такие фразы, как «say hello to my little friend» («скажи привет моему маленькому другу»), «to be or not to be» («быть или не быть»), «Walk Into This Room» («Войти В Эту Комнату»), «party like it's 1999» («Развлекайся, как будто сейчас 1999»), «yohohoandabottleofrum» («йохохоибутылкарома») и уж совсем очевидная фраза «Arnold Schwarzenegger» («Арнольд Шварценеггер»).

Исследователи Университета Талсы, Стэнфордского университета и Южного методистского университета обнаружили новый способ взлома «мозговых кошельков», требующий в 2,5 раза меньше времени по сравнению с методом, предложенным Кастеллуччи. Эксперты проанализировали 300 млрд паролей, и в период с сентября 2011 по август 2015 года «мозговые кошельки» использовались только для 884 из них.

«Наши результаты подтверждают существование активного сообщества хакеров, быстро похищающего средства из уязвимых «мозговых кошельков». В общей сложности в «мозговые кошельки» было загружено биткоинов на сумму $100 тыс. [...] Некоторые кошельки обчищаются в течение нескольких минут. Кошельки с большей суммой пустеют быстрее, но практически все истощаются в течение 24 часов», - сообщили исследователи.

Эксперты брали пароли из словарей и сопоставляли со списком всех используемых Bitcoin-адресов с целью определить, какие из них связаны с «мозговыми кошельками». Из 884 обнаруженных кошельков хакеры не опустошили только 21.

Исследователи неоднократно осуществляли брутфорс-атаки на пароли к Bitcoin-кошелькам. Выводы просты - пользователь не может самостоятельно придумать пароль, устойчивый ко взлому. «Наши исследования демонстрируют ненадежность мозговых кошельков и подтверждают необходимость отказаться от них», - уверены исследователи.