Hacker công bố khóa riêng tư, nhưng không ai có thể đánh cắp ETH của anh ấy

Những gì được cho là riêng tư thì tất nhiên chỉ thuộc về một cá nhân hoặc một nhóm người. Tuy nhiên, điều đó lại không đúng với hacker Robert M. C. Forster. Anh ta rất vui khi chia sẻ khóa riêng tư quản lý địa chỉ Ethereum chứa 1 ETH với mọi người, nhưng không ai có thể hack nó.

Vào khoảng 12:06 trưa giờ Luân Đôn (7 giờ tối giờ Việt Nam) vào ngày sinh nhật Bitcoin, ngày 3/1, Forster cho biết đã cấp tiền cho địa chỉ này.

Cùng thời gian đó, anh ta đã công khai tiết lộ khóa riêng tư. Khoảng 20 phút sau, tiền được chuyển đi.

Người đã cố lấy ETH này cho biết anh ta rất ấn tượng và rất tốt bụng chia sẻ một số chi tiết về giao dịch chưa bao giờ được thực hiện trên mạng Ethereum.

Như chúng ta có thể thấy trong ảnh chụp màn hình, ETH đã chuyển sang 0x25 chứ không phải 0x4e2. Trong tuyên bố ban đầu của mình, Forster cho biết 0x25 là ví an toàn của anh ấy và là nơi ETH sẽ đi.

Vì vậy, nó đã hoạt động nhờ vào Replace-by-Fee (RBF) trộn lẫn với một lệnh thực thi khá mới lạ.

Phức tạp nhưng lại rất đơn giản

Ý tưởng vô cùng đơn giản. Bạn ký một giao dịch, nhưng bạn không nói về nó, bạn chỉ cần giữ nó cho bản thân như một bản sao lưu. Bạn có thể chạy listening nodes để xem có gì xảy ra với tài khoản của bạn không.

Khi có điều gì đó xảy ra, như trường hợp của hacker Gucards ở trên, bạn nhanh chóng phát sóng giao dịch sao lưu và giả sử phí giao dịch của bạn thanh toán cho các miner lớn hơn của Gucards, khi đó giao dịch ví an toàn sẽ bao gồm trong giao dịch của hacker.

Sau đó, giao dịch của hacker rời khỏi mạng, và đó là nguyên nhân chúng ta không thể thấy những gì Gucards thực sự đã làm và phải phụ thuộc vào lời nói của anh ta.

Tuy nhiên, chúng tôi không tin tưởng vào Gucards hay thậm chí Forster về việc liệu nó có hoạt động như chúng tôi nghĩ không. Chúng tôi có thể tự viết mã này vì nó quá đơn giản, nhưng cũng khá mới lạ.

Như bạn có thể biết, RBF là một quy tắc ngầm trong đó các miner chấp nhận giao dịch trả phí cao nhất khi có hai giao dịch giống hệt nhau đang chờ để được đưa vào mạng.

Miner không bắt buộc phải làm như vậy. Họ có thể chọn giao dịch phí thấp hơn thay vào đó, nhưng những miner tay mơ trong ngành công nghiệp tàn nhẫn này có xu hướng bị loại bỏ. Vì vậy, theo kinh nghiệm của chúng tôi, có vẻ như các miner thường xuyên chỉ bao gồm giao dịch trả tiền nhiều hơn, bất kể đó là giao dịch “clone” thứ hai hay thứ ba.

Vì vậy, khi hacker thông báo giao dịch trộm cắp, hệ thống Blockd sẽ tung ra giao dịch đã được ký, chuẩn bị và được trang bị với mức phí gas cao hơn.

Trong Ethereum, thời gian khối đã giảm xuống còn 12 giây, vì vậy hệ thống Blockd phải hoạt động cực nhanh khi mạng không bị nghẽn và ngay cả khi bị tắc nghẽn, vì hacker luôn có thể tăng phí.

Do đó, bí mật có lẽ chỉ là làm thế nào để nó hoạt động nhanh như vậy, nhưng chưa hẳn là vấn đề của Infura.

Rõ ràng có thể nhìn thấy được điểm yếu kém này. Các hacker cũng có thể là Infura. Tuy nhiên, kết quả cuối cùng là lãng phí thời gian bởi vì nếu hacker tăng phí và Blockd cũng vậy cho đến khi đạt đến giai đoạn mà toàn bộ giá trị là phí, thì hacker không chỉ gặp rủi ro bị ‘tóm cổ’, mà còn không nhận được gì.

Lệnh thực thi là chìa khóa và về mặt này thì còn quá mới để đưa ra phán quyết thực thi, nhưng Forster nói thay vì ký giao dịch không được phát sóng thông qua giao diện mặt trước có thể không an toàn, bạn có thể chỉ cần cho họ ký giao dịch ngoại tuyến mà chính bạn đã tạo ra, với dịch vụ chính của họ rõ ràng là giám sát và phản ứng nhanh.

Công khai khóa riêng tư

Như bạn có thể biết, chữ ký mã hóa là một cách để chứng minh bạn là ai, rằng bạn có khóa riêng tư, trong khi không tiết lộ chính xác bạn là ai vì không hiển thị hoàn toàn các số và chữ cái vô nghĩa của khóa riêng tư như những gì Forster đã xuất bản:

ca9a3a3d4026e6228713e683a9c45ef65a538b2f9336813bd597f5effa38668d

Nếu bạn xuất bản các chữ cái và số đó, thì bạn cung cấp cho hacker toàn quyền. Nhưng không xuất bản nó và chỉ ký thì bạn phải có trách nhiệm với bất cứ điều gì bạn đã ký.

Trong trường hợp này, những gì được ký là quyền chuyển tiền đến địa chỉ công khai ví an toàn. Không thể thay đổi lệnh này và nếu bạn xuất bản lệnh của một giao dịch đã ký, tất cả những gì có thể được thực hiện là tuân theo lệnh, tức là gửi ETH đến ví an toàn.

Khả năng đặt lệnh trong khi không tiết lộ bản thân là một phần đáng kể của phát minh Bitcoin. Nếu không có nó, toàn bộ quá trình không thể thực sự hoạt động trơn tru. Nhưng mỗi lần ký có thể tiết lộ một chút khóa riêng tư của bạn, do đó, nên thay đổi địa chỉ mỗi khi giao dịch được thực hiện.

Trên thực tế, không ai thực sự làm điều đó bởi vì sự đảo ngược này đối với khóa riêng tư thông qua chữ ký được ủy quyền là hơi quá lý thuyết ở giai đoạn này, nhưng về mặt khái niệm vì bạn có thể đi một chiều nên có khả năng một ngày nào đó bạn quay ngược lại.

Hiện tại và trong tương lai gần, thiết lập ở cấp độ mật mã phải đáp ứng yêu cầu tin cậy được giám sát khi giả sử các giao dịch không phát sóng không được tạo ra thông qua trang web của họ vì khi đó bạn phải tin tưởng thiết lập trực tuyến của họ và của bạn.

Bạn phải tin tưởng nó vì để đăng nhập, bạn phải tiết lộ khóa riêng tư. Sau khi được ký, bạn có thể tiết lộ giao dịch nếu bạn muốn vì tất cả các mạng sẽ làm theo những gì được yêu cầu – gửi ETH đến ví an toàn.

Tuy nhiên, trong quá trình ký, nếu khóa riêng tư bị lộ – thì giả sử là trước khi Blockd hoạt động – bạn cũng thấy tiền tiền chuyển đến ví không an toàn rất nhanh.

Vì vậy, việc thực thi và kết hợp tất cả các khía cạnh này trong Blockd khá thú vị, bởi lẽ mặc dù nó không cung cấp bảo mật đầy đủ vì không có hệ thống nào do con người tạo ra đều hoàn hảo, nhưng nó cung cấp mức độ bảo mật cao hơn thông qua rất phương pháp rất phức tạp nhưng khá đơn giản của hacker.

• Giá Ethereum tăng gần 3% bất chấp hackers di chuyển 11,398 ETH trộm từ Upbit
• Facebook bị nhóm hacker nghi vấn đến từ Việt Nam đánh cắp dữ liệu của 267 triệu người dùng, điều này đặt một dấu hỏi lớn về việc bảo mật của Libra

Thùy Trang

    Tạp chí Bitcoin | Trustnodes