Ein Systemarchitekt knackte eine Startphrase und gewann in knapp einer halben Stunde ein Kopfgeld von 100.000 Satoshi oder 0,001 Bitcoin (BTC) im Wert von 29 US-Dollar. Cointelegraph sprach mit Andrew Fraser in Boston, der betonte, wie wichtig es ist, die Seed-Phrase einer Bitcoin-Wallet sicher und offline zu halten.

Eine Seed-Phrase oder Wiederherstellungsphrase ist eine Folge zufälliger Wörter, die beim Erstellen einer Wallet generiert werden und auf die Wallet zugreifen können, ähnlich einem Hauptschlüssel. Fraser Brute forcierte eine 12-Wörter-Seed-Phrase, die der Bitcoin-Pädagoge „Wicked Bitcoin“ auf Twitter teilte:

Möchte jemand versuchen, diese 12-Wörter-Startphrase brutal zu erzwingen und 100.000 Sats zu sichern? Ich gebe Ihnen alle 12 Wörter, aber in keiner bestimmten Reihenfolge. Standardableitungspfad m/84'/0'/0'…keine ausgefallenen Tricks. GL.https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g

– Wicked (@w_s_bitcoin) 26. April 2023

Wie gezeigt, forderte Wickeds Tweet die Benutzer dazu auf, die korrekte Reihenfolge der 12-Wörter-Seed-Phrase zu entschlüsseln.

„Möchte jemand versuchen, diese 12-Wörter-Startphrase brutal zu erzwingen, um 100.000 Sats zu sichern? Ich gebe Ihnen alle 12 Wörter, aber in keiner bestimmten Reihenfolge. Standardableitungspfad m/84'/0'/0' … keine ausgefallenen Tricks. GL.“

Es dauerte nur 25 Minuten, die 100.000 Satoshis – oder knapp 30 US-Dollar – freizuschalten. Der Vorfall ist eine rechtzeitige Erinnerung für Bitcoin-Benutzer und Krypto-Enthusiasten, die Krypto-Sicherheit ernst zu nehmen.

Fraser hat den Code mit BTCrecover geknackt, einer auf GitHub verfügbaren Softwareanwendung. Die Software bietet eine Reihe von Tools, die Startphrasen mit fehlenden oder verschlüsselten Mnemoniken ermitteln können, sowie Dienstprogramme zum Knacken von Passphrasen. Über Twitter-DMs sagte Fraser gegenüber Cointelegraph:

„Meine Gaming-GPU konnte die korrekte Reihenfolge der Seed-Phrase in etwa 25 Minuten ermitteln. Ein leistungsfähigeres System würde dies jedoch viel schneller erledigen.“

Er wies darauf hin, dass jeder mit Grundkenntnissen in der Ausführung von Python-Skripten, der Verwendung der Windows-Befehlsshell und dem Verständnis des Bitcoin-Protokolls – insbesondere der BIP39-Mnemonik – in der Lage sein sollte, seinen Erfolg zu wiederholen.

Cointelegraph befragte Fraser zur Sicherheit von 12-Wort-Seed-Schlüsseln. Fraser erklärte, sie seien „vollkommen sicher, wenn die Wörter einem Angreifer unbekannt bleiben oder im Ableitungspfad der Wallet eine Passphrase „13. Startwort“ verwendet wird.“

Darüber hinaus betonte er die überlegene Sicherheit von 24-Wörter-Seed-Keys.

„Selbst wenn ein Angreifer die fehlerhaften Wörter Ihres 24-Wörter-Seed-Schlüssels kennen würde, hätte er nie die Hoffnung, den richtigen Seed zu entdecken.“

Fraser hat die Entropieberechnungen aufgeschlüsselt, um den Sicherheitsunterschied zwischen den beiden Arten von Startschlüsseln zu erklären. Ein 12-Wort-Seed hat ungefähr 128 Bit Entropie, während ein 24-Wort-Seed 256 Bit aufweist. Wenn ein Angreifer die ungeordneten Wörter eines 12-Wort-Seeds kennt, gibt es nur etwa eine halbe Milliarde mögliche Kombinationen, was mit einer anständigen GPU relativ einfach zu testen ist. Ein 24-Wörter-Seed hat jedoch etwa 6,24^24 mögliche Kombinationen – und das sind viele Nullen.

Sogar die Wahrscheinlichkeit, dass ein Angreifer eine 12-Wörter-Seed-Phrase knackt, ist grenzwertig absurd. 24-Wörter-Seed-Phrasen mögen überlegen sein, aber wie Wicked in einer Obduktion der Seed-Phrase-Herausforderung betont; „Es wird ehrlich gesagt nicht gehackt.“

Für den Fall, dass jemand Ihre Seed-Phrase zerschnitten und nicht in der richtigen Reihenfolge findet, dann ja, lol.

– Wicked (@w_s_bitcoin) 27. April 2023

Letztendlich ist es eine rechtzeitige Erinnerung an die Leser, sicherzustellen, dass Seed-Phrasen niemals online veröffentlicht oder weitergegeben werden. Das bedeutet, dass eine Startphrase nicht in einem Passwort-Manager oder einer Cloud-Speicherlösung gespeichert werden sollte und schon gar nicht in ein Telefon eingegeben werden sollte.

Fraser betonte auch, wie wichtig es sei, die Startschlüssel geheim zu halten und eine Passphrase zu nutzen, die als Teil des Ableitungspfads fungiert. Was die 100.000 Sats betrifft, die Fraser mit nach Hause nahm? Fraser twitterte, dass er sie an diesem Abend zum Abendessen ausgegeben habe: Chicken Marsala. Sprechen Sie über Kreislaufwirtschaft.

Cointelegraph Magazine: Bitcoin im Senegal: Warum verwendet dieses afrikanische Land BTC?