Narzędzie do łamania starych brainwalletów oparte na internetowym bocie

Postautor: **kadexor** » piątek, 18 czerwca 2021, 12:26

Na początku istnienia Bitcoin bardzo wiele adresów BTC zostało wygenerowanych metodą "brainwallet", czyli na podstawie jakiegoś zdania (hasła), frazy, fragmentu książki itp. Oczywiście bruteforce pewno był już puszczany niejeden, ale tutaj jak wiadomo mamy ograniczone możliwości obliczeniowe współczesnych komputerów i brainwallety wygenerowane na hasło dłuższe niż 8 znaków (alfanumerycznych+AZ) powinny być jeszcze w miarę bezpieczne. Gorzej wygląda sprawa tego typu porfeli, które były stworzone na podstawie cytatów z książki. Z tego co jest mi wiadomo, to wszystkie cyfrowe wersje książek zostały wykorzystane do robienia ataków i szukania portfeli wygenerowanych na podstawie cytatów/fragmentów książek. Zapewne wiele portfeli straciło tysiące BTC z początkowego okresu istnienia.

Pozostaje kwestia wielu brainwalletów z pierwszych lat istnienia Bitcoin, które były stworzone na podstawie różnych zwykłych zdań np. "Stół z powyłamywanymi nogami." lub bardziej bezsensowne i często mało logiczne zdania, których w książkach może nie być. Dlatego ktoś pokusił się o stworzenie narzędzia (https://bitcoinwalletcracker.com), które tak samo jak Google, działa jak bot i "chodzi po internecie", biorąc z każdej strony internetowej treści, zdania, bloki tekstów i na ich postawie generuje brainwallety. IMO ma to rację bytu, ze względu na to, że takie narzędzie wcześniej nie było jeszcze powszechnie używane, a zapewne są niezliczone ilości adresów BTC wygenerowanych na podstawie zdań, fraz typowo "ludzkich", których nie ma w książkach, ale są w internecie.

Jeżeli to zadziała i wiele osób zacznie tego używać to może być czarny łabędź dla ceny BTC, bo na starych brainwalletach są zazwyczaj setki i tysiące BTC.

Nie wydaje mi się, ponieważ boty do ściągania monet z takich adresów są powszechne i nie są niczym nowym. Większość brainwalletów jest już opróżniona, a całkiem sporo starych kluczy to były jednak normalne portfele oparte na OpenSSL. Zresztą, jak ja musiałem wygenerować jakiś klucz "na szybko", to zwykle się brało plik tekstowy pełen prywatnych notatek i się go hashowało. Szanse na to, że ktoś odtworzy te kilka kilobajtów tekstu są dość nikłe, zwłaszcza że były tam kwestie czysto prywatne, które ciężko odgadnąć ot tak sobie. Tak samo się brało obrazki albo losowe pliki systemowe. Niby można próbować liczyć SHA-256 ze wszystkich DLL-ek i exeków w systemie, no ale nadal, raczej nie trafisz w ten sposób żadnego klucza. Hash zawartości całego dysku twardego też czasem był w użyciu, a tego tym bardziej nie sposób odgadnąć.

Od 11:40 widać, jak szybko można stracić środki z brainwalleta.

Postautor: **kadexor** » piątek, 18 czerwca 2021, 16:23

Tylko, że to o czym ty mówisz, to boty, które pilnują milionów adresów BTC do których mają klucze. Mówimy tu o wielu adresach typu brainwallet, gdzie podstawą tworzenia adresu było proste hasło (jak z filmu powyżej) lub fraza z książki itp. To co robi przedstawione narzędzie jest zupełnie odwrotnym procesem. Długotrwałym procesem szukania fraz, a nie "czajenia się" że ktoś przeleje jakieś satoshi na adres z prostego hasła na brainwallet.

Używam tego narzędzia od 3 tygodni, nie ukrywam, że jest skuteczne

, ale nie będę dalej rozwijał tematu.

Ja tam mam spore wątpliwości. Pierwsza kwestia: czy te 0.02 BTC (albo 0.1 BTC bez promocji) się zwróciło? A druga kwestia: czy autorzy tego cuda nie zgarnęli już sporej części tych środków, których znalezienie ten soft umożliwia? No i jeszcze trzecia kwestia: na jakiej podstawie jest ustalany stan początkowy? Bo jeśli każdy użytkownik startuje mniej więcej z tego samego, no to pierwsi użytkownicy zgarną wszystko, a reszta trafi na już opróżnione portfele.

Postautor: **kadexor** » piątek, 18 czerwca 2021, 16:59

Czym mi się zwróciło? Wiem, ale nie powiem

Natomiast, jeżeli chodzi o punkt startowy, to każdy podaje stronę lub listę stron internetowych na których robot zaczyna działanie. Dlatego też każdy ma swoją szansę i prawie każda sesja działania jest inna dla każdego użytkownika. W internecie mamy ponad 1,5 miliarda stron internetowych każda pewno z 5-100 podstron. To setki miliardów podstron treści. Dlatego warto przemyśleć dobrze punkty startowe i najlepiej uruchomić kilkadziesiąt/kilkaset instancji jednocześnie. Ja zapuściłem to ustrojstwo na kilku swoich serwerach i ciągle chodzi.

Postautor: **miso20** » piątek, 18 czerwca 2021, 22:57

kadexor pisze: ↑ piątek, 18 czerwca 2021, 16:23Używam tego narzędzia od 3 tygodni, nie ukrywam, że jest skuteczne , ale nie będę dalej rozwijał tematu

Kradniesz czyjeś btcoiny i się tym chwalisz jeszcze?

Posiadanie bez kradzieży klucza prywatnego do portfela nie jest kradzieżą. Nikt nie zabroni pomyśleć ci takiego samego zdania i wygenerować identyczny adres BTC. Tak samo jak istnieje prawdopodobieństwo (choć to akurat bardzo mało prawdopodobne), że wygenerujesz adres BTC na którym są już BTC. Kto ma klucze, ten jest właścicielem. BTC nie ma żadnej formy prawnej, nie ma aktów notarialnych, żadnych ksiąg określających kto jest właścicielem. Kto ma klucz, ten jest właścicielem. Dlatego tak ważna w Bitcoin jest świadomość klucza prywatnego i tego w jaki sposób został on wygenerowany.

Powiem tak, hipotetycznie jeżeli znalazłem dwa portfele z okolic lat 2012-2013 o "dość" prozaicznych i niezbyt skomplikowanych zdaniach / frazach tworzących klucz prywatny (brainwallet) i nikt ich przez tyle lat nie ruszył to śmiem twierdzić, że te portfele są już dawno zapomniane, bo nikt o zdrowych zmysłach nie zostawiłby tych BTC na takich portfelach.

teoretycznie....

@kadexor naciągasz jak gumę w starych gaciach. Próbujesz ukraść czyjeś środki, a z twojej wypowiedz wynika, że już ukradłeś. Miej trochę godności i się tym przynajmniej nie chwal

Pieniądze leżą na ulicy jak to się mówi.

Postautor: **slasta** » wtorek, 22 czerwca 2021, 08:13

@kadexor To że rower stoi na ulicy nie przypięty łańcuchem nie znaczy że możesz sobie go wziąć.

kadexor pisze: ↑ poniedziałek, 21 czerwca 2021, 14:30Nikt nie zabroni pomyśleć ci takiego samego zdania i wygenerować identyczny adres BTC.

Racja. Nikt nie zabrania przecież dorabiania klucza i wchodzenia do czyjegoś mieszkania, tym bardziej jak nieużywane

kadexor pisze: ↑ poniedziałek, 21 czerwca 2021, 23:23Pieniądze leżą na ulicy jak to się mówi.

Rozumiem, że znaleziony na ulicy portfel z kasą i kartami też byś schował do kieszeni bez poczucia, że robisz coś niewłaściwego?

Postautor: **CzarnaOwca** » wtorek, 22 czerwca 2021, 11:06

Gościu okrada świadomie ludzi, chwali się tym w necie i jeszcze uparcie twierdzi, że nic złego nie robi

Co tu się odwala....

Postautor: **Kutalisk** » wtorek, 22 czerwca 2021, 12:35

W myśl zasady "znalezione nie kradzione"

YouTube · Postautor: **rav3n_pl** » wtorek, 22 czerwca 2021, 23:46

Przecież jest stary tool - brainflyer, można się nim bawić do woli.
Ale o zakład idę, że wszystkie słowniki są już dawno i wielokrotnie przeleciane xD
https://github.com/ryancdotorg/brainflayer

Postautor: **kadexor** » środa, 23 czerwca 2021, 11:43

@rav3n_pl - to co podałeś to zwykły brute-force do którego trzeba mieć listę haseł/fraz. BWC sam szuka w internecie po stronach zdań, fraz itp.

Tysiące BTC leżą na starych portfelach brainwallet, dawno zapomnianych. Może i tworzy to dodatkową inflację dla BTC, ale tego narzędzia używa wiele osób. Zawsze można przelać BTC z takiego adresu na inny adres i wygenerować OP_CODE z adresem e-mail do kontaktu dla poprzedniego właściciela, jeżeli się nie skontaktuje w ciągu 2 lat, to chyba można wziąć to znalezione nie kradzione

Postautor: **garlonicon** » środa, 23 czerwca 2021, 12:10

Zawsze można przelać BTC z takiego adresu na inny adres i wygenerować OP_CODE z adresem e-mail do kontaktu dla poprzedniego właściciela

Jeśli taki mail będzie zaszyfrowany, to istnieje spore ryzyko, że właściciel monet tego nie odczyta. A jeśli będzie jawny dla każdego, no to spam gwarantowany.

Uczciwym podejściem do sprawy byłoby wysłanie jakiejś drobnicy na ten adres i zgarnięcie jej z powrotem bez ruszania oryginalnych monet. Wtedy jest szansa na to, że autor zobaczy nieswoje transakcje związane ze swoim adresem i w porę sam zabierze te monety. Inna sprawa, że raczej nie będzie się dało ustalić, czy autor rzeczywiście zabrał swoje monety, czy też ktoś inny znalazł ten sam portfel i go sobie wziął. Oczywiście, powiadomienie autora w ten sposób wiąże się z ujawnieniem klucza publicznego, co może ułatwić innym atakującym trafienie na taki brainwallet.

Postautor: **bitup** » środa, 23 czerwca 2021, 12:43

kadexor pisze: ↑ piątek, 18 czerwca 2021, 12:26Dlatego ktoś pokusił się o stworzenie narzędzia (https://bitcoinwalletcracker.com), które tak samo jak Google, działa jak bot i "chodzi po internecie",

Wchodząc na stronę widzisz cenę za ten genialny generator 0.1 BTC albo promocja 0.02 tylko teraz
i trzeba sobie zadać jedno pytanie - jak programista stworzył algo który by działał i wyszukiwał haseł do starych portfeli /nie jest w żaden sposób identyfikowalny to sam by sobie przejmował zawartość GDYBY to działało
TO po co sprzedawać to w necie ? Bezsens.
Moralnie wątpliwe a skuteczność nieweryfikowalna
Czyli sytuacja podobna do szkoleniowców uczących jak grać na rynkach ,zamiast samemu grać
Czysty idiotyzm.

https://www.zapread.com/user/fervi · Postautor: **fervi** » czwartek, 24 czerwca 2021, 17:17

bitup pisze: ↑ środa, 23 czerwca 2021, 12:43TO po co sprzedawać to w necie ?

Bo szanse na to, że zdobędziesz czyjeś hasło jest minimalne, by nie powiedzieć bliskie zeru. A tak parę osób kupi

Postautor: **GameBoy** » piątek, 25 czerwca 2021, 16:24

Takie info dla kogos kto by sie na takie cos nakrecil (pomijajac aspekty etyczne, ale to tak naprawde tez na dlusza rozmowe):

1. Widzac, ze program jest odplatny, napisalem na szybko swoje narzedzie i troche je rozbudowalem przez kilka dni. Nie jest w calosci automatyczne, ale w porownaniu z programem z tematu, sprawdza duzo - duzo - duzo wiecej adresow - a w tym duzo mniej "smieci" ze stron (kilka skryptow tworzacych wordliste, wyciaganie zdan, cytatow, zwrotow - przerabianie tego na wiele sposobow). Dla porowania prosze zobaczyc w zwolnionym tempie, ile i jakie frazy sprawdza program z tego watku: https://www.youtube.com/watch?v=zlO8nSzTKkU&t=305s.
Do sedna

Przez kilka dni sprawdzilem miliony adresow i nie trafilem zlamanego satoshiego.

2. Zwrocilem uwage, ze domena na ktorej mozna znalezc program, zarejestrowana jest na aftermarket.pl - to taka ciekawostka.

Spoiler: