«Большой биткойн коллайдер» несет угрозу безопасности

В течение года группа энтузиастов в области криптографии пытается взломать один из алгоритмов, использующихся для создания биткойн-кошельков.

Проект получил название «Большой биткойн коллайдер» (ББК) по аналогии с Большим адронным коллайдером – крупной экспериментальной установкой для ускорения элементарных частиц.

ББК предназначен для поиска коллизий криптографических хеш-функций. Для получения доступа к средствам в биткойн-кошельке необходим закрытый ключ, сгенерированный одновременно с биткойн-адресом. Теоретически, ряд закрытых ключей подходят для любого биткойн-кошелька, однако для их обнаружения с помощью брутфорса необходима огромная вычислительная мощность. ББК призван решить данную проблему. Проект заключается в использовании мощностей компьютеров, чьи владельцы добровольно согласятся установить на них специальное ПО.

ББК вызвал весьма неоднозначную реакцию. В случае, если кому-то удастся получить закрытый ключ для доступа к чужим кошелькам, не исключено, что он похитит хранящиеся в них деньги. Однако главная проблема заключается в другом. Один из пользователей форума Reddit обнаружил в коде ПО ББК нечто подозрительное. Во-первых, программа работает на системе совершенно незаметно и без разрешения пользователя. Во-вторых, она может получать обновления от кого угодно, делая систему уязвимой к хакерским атакам.

«Уязвимости в ПО, позволяющие удаленно выполнить код, весьма распространены, однако в данном случае они являются частью функционала», — сообщил эксперт в области криптографии Райан Кастелуччи (Ryan Castellucci) изданию Motherboard.

Является ли уязвимость преднамеренно оставленным бэкдором, или просто недочетом разработчиков, неизвестно. По словам одного из авторов проекта под псевдонимом Rico, ББК позволяет удаленно выполнять код с целью удаления себя с системы на случай, если пользователь попытается внести в него какие-то изменения. «Это защита от вредоносных атак. По иронии, данный функционал сам воспринимается как вредоносный», — отметил Rico.

Источник: SecurityLab.ru




Добавить комментарий

Войти с помощью: