Bitcoin-udvikler hævder et tab på $3.3 millioner efter PGP-udnyttelse

Bitcoin-kerneudvikleren Luke Dashjr hævdede, at hans tegnebog blev hacket på grund af et nøglekompromis med Pretty Good Privacy (PGP). Dashjrs tegnebog havde flere udgående transaktioner den 31. december, i alt over 200 BTC - med et anslået tab af aktiver til en værdi af $3.3 millioner til aktuelle markedspriser.

"Min PGP-nøgle er kompromitteret, og i det mindste mange af mine bitcoins stjålet," Dashjr Tweetet den 1. januar og tilføjede, at de "ikke aner hvordan." Han sagde ikke, hvordan angriberne præcist fik adgang til hans PGP-nøgler.

Pretty Good Privacy er en kryptografisk metode til at kryptere og dekryptere data. Det kan bruges til at kryptere information, der er gemt på en server - for at beskytte mod uautoriseret adgang eller manipulation. Navnlig kan nøgler genereret via PGP bruges til at verificere et bestemt stykke data, såsom legitimiteten af ​​en softwaredownload.

Selvom hvad der præcist forårsagede udnyttelsen endnu ikke er bekræftet, spekulerer mange på, at en server, som Dashjr brugte, kan være blevet tilgået til at stjæle data, inklusive private nøgler til hans bitcoin-pung. I november blev Dashjr bemærkede at hans server var blevet kompromitteret.

Den pseudonyme udvikler af Yearn Finance, Banteg, kommenteret på Twitter kan hændelsen være et potentielt "forsyningskædeangreb." Supply chain-angreb sker, når en hacker går ind i og ændrer software ved at injicere ondsindet kode i et system. I dette tilfælde er det muligt, at hackeren fik adgang til Dashjrs server ved hjælp af en kompromitteret PGP-nøgle og senere udtrak den private nøgle til sin hot wallet, der var forbundet til serveren. En formel undersøgelse mangler dog endnu at bekræfte dette. 

Hændelsen har vakt stor opmærksomhed. Binance CEO Changpeng Zhao sagde hans team overvågede aktiverne og ville fryse dem, hvis de blev sendt til den centraliserede børs. 

© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.