ビットコイン支持者が既知の12語のシードフレーズを数分で解読

システムアーキテクトがシードフレーズを解読し、わずか30分足らずで10万サトシの賞金、または0.001ビットコイン（BTC）、29ドル相当を獲得した。Cointelegraphはボストンのアンドリュー・フレイザー氏にインタビューし、ビットコインウォレットのシードフレーズを安全かつオフラインに保つことがいかに重要であるかを強調した。
シードフレーズまたはリカバリフレーズは、ウォレットの作成時に生成されるランダムな単語の文字列で、マスターキーと同様にウォレットにアクセスできます。フレイザーは、ビットコイン教育者「Wicked Bitcoin」がTwitterで共有した12語のシードフレーズをブルートフォース攻撃しました。
誰か、100,000 sats を確保する 12 語のシードフレーズを総当たりで解読してみませんか? 12 語すべてをお教えしますが、順不同です。標準導出パス m/84'/0'/0'… 特別なトリックはありません。 すごい。https://t.co/c9FyMv3HYM pic.twitter.com/nPGTB9bX2g
— ウィキッド (@w_s_bitcoin) 2023年4月26日
ご覧のとおり、Wicked のツイートでは、12 語のシード フレーズを正しい順序で解読するようにユーザーに要求しています。
「100,000 sats を確保する 12 語のシード フレーズを総当たり攻撃で解読してみたい人はいませんか? 12 語すべてを、順不同で紹介します。標準導出パスは m/84'/0'/0' です。特別なトリックはありません。素晴らしい。」
100,000サトシ（約30ドル弱）のロックを解除するのにかかった時間はわずか25分だった。この事件は、ビットコインユーザーや暗号通貨愛好家にとって、暗号通貨のセキュリティを真剣に受け止めるべきだということをタイムリーに思い出させるものだ。
フレイザー氏は、GitHub で入手可能なソフトウェア アプリケーション BTCrecover を使用してコードを解読しました。このソフトウェアは、欠落またはスクランブルされたニーモニックを持つシード フレーズを特定できるさまざまなツールと、パスフレーズ クラッキング ユーティリティを提供します。フレイザー氏は Twitter のダイレクト メッセージで、Cointelegraph に次のように語りました。
「私のゲーミング GPU は、シード フレーズの正しい順序を約 25 分で判断できました。ただし、より高性能なシステムであれば、はるかに高速に実行できます。」
彼は、Python スクリプトの実行、Windows コマンド シェルの使用、ビットコイン プロトコル (特に BIP39 ニーモニック) の理解に関する基本的な知識があれば、誰でも彼の成功を再現できるはずだと指摘しました。
Cointelegraph は、12 ワードのシード キーのセキュリティについてフレイザー氏に質問しました。フレイザー氏は、「攻撃者がワードを知らないままにしておくか、ウォレットの導出パスでパスフレーズ「13 番目のシード ワード」が使用されている場合は、完全に安全です」と説明しました。
さらに、彼は 24 ワードのシード キーの優れたセキュリティを強調しました。
「たとえ攻撃者が 24 ワードのシード キーの順序が間違っているワードを知っていたとしても、正しいシードを発見できる見込みはまったくありません。」
フレイザー氏は、エントロピー計算を分解して、2 種類のシード キーのセキュリティの違いを説明しました。12 ワードのシードには約 128 ビットのエントロピーがあり、24 ワードのシードには 256 ビットのエントロピーがあります。攻撃者が 12 ワードのシードの順序なしのワードを知っている場合、可能な組み合わせは約 5 億通りしかありませんが、これはまともな GPU でテストするのは比較的簡単です。一方、24 ワードのシードには、およそ 6.24^24 通りの組み合わせがあり、これはゼロが非常に多いことを意味します。
攻撃者が 12 語のシード フレーズを解読できる可能性さえ、ほぼゼロです。24 語のシード フレーズの方が優れているかもしれませんが、シード フレーズ チャレンジの事後分析で Wicked が指摘しているように、「正直言ってハッキングされることはない」でしょう。
万が一、誰かがあなたのシードフレーズを分割して順序が間違っていることに気付いたとしたら、その通りです（笑）。
— ウィキッド (@w_s_bitcoin) 2023年4月27日
結局のところ、これは読者にとって、シードフレーズがオンラインで公開または共有されないようにするためのタイムリーなリマインダーです。つまり、シードフレーズはパスワードマネージャーやクラウドストレージソリューションに保存すべきではなく、携帯電話に入力すべきではないということです。
フレイザー氏はまた、シードキーを秘密にしておくことと、導出パスの一部として機能しているパスフレーズを活用することの重要性を強調した。フレイザー氏が持ち帰った10万Satsはどうなったのか？フレイザー氏はその夜の夕食に使ったとツイートした。「チキン・マルサラ」。まさに循環型経済だ。
Cointelegraph Magazine: セネガルのビットコイン: このアフリカの国が BTC を使用するのはなぜか?