Topic: Bot ruba-bitcoin - page 2. (Read 2922 times)

ah ok, avevo capito male. Quanto ci è voluto per trovarla?

Ognuno cerca in una regione di spazio assegnata da un server centrale, il quale si occupa di verificare che la stessa chiave non venga controllata due volte e che non si saltino delle chiavi. Ma alla fine è sempre un singolo che trova una chiave

come hai fatto a trovarlo da solo? Non funziona in pool?

o penso che se uno str...o mi ruba 0.1 btc appena depositati
non c'è nulla di positivo  se sei il depositante
se sei il possessore del bot tanto negativo non lo è di sicuro 

M.

Ho appena trovato la chiave numero 53!!! 

In ogni caso non mi sembra sia un reale problema almeno per ora, finora gli unici furti di questo tipo sono stati fatti a causa dei bug nella generazione dei numeri casuali di certi wallet. In pratica se si usano wallet seri come electrum o semplicemente bitcoin core, non si corrono rischi.

Infatti, si parla sempre di 2^256, chissà cosa dicono i calcoli termodinamici riguardo a 2^160 o anche riguardo a 2^136.

Ricordo inoltre che se è nota la chiave pubblica di un indirizzo allora servono solo 2^128 passi per poter ricavare la chiave privata (craccare ECDSA).

Infine aggiungo che se l'obiettivo è trovare 2 chiavi private qualsiasi compatibili (una collisione rispetto a un indirizzo qualsiasi, non per forza uno dei 2^24 indirizzi con bitcoin) bastano 2^80 passi (vedere il paradosso dei compleanni). Questo sicuramente è un numero molto più ragionevole.

a proposito di energia, c'è questa immagine abbastanza divertente:



l'errore di fondo è che considera 256 bit anziché 160, sarebbe interessante sapere come cambia di conseguenza l'energia necessaria, e se vale ancora la stessa conclusione.

Per pura curiosità mi sono fatto un foglio excel per capire che razza di numero sia 2^256, che sono gli indirizzi possibili delle chiavi private di btc. Questo è il numero:

 115792089237316195423570985008687907853269984665640564039457584007913129639936


combinazioni possibili di 6 nel superenalotto:

 622614630

Impressionante!

Chiaro che l'energia è fondamentale.

Il mio discorso voleva solo sottolineare un aspetto matematico/psicologico della faccenda, se si dice: "ci vorrebbero altri 2^47 anni a questo ritmo per avere una collisione" viene spontaneo pensare subito: quindi non succederà mai, vita dell'universo, e così via...

Se invece si guarda solo all'esponente: "ci vogliono 47 raddoppi della potenza attuale per poter avere una collisione all'anno" allora il fatto appare più fattibile (il che non vuol dire che lo sia). Basti pensare alla differenza tra un supercomputer di oggi e uno di 60 anni fa. Oppure alla potenza attuale del mining, chi l'avrebbe mai pronosticata solo 8 anni fa?

A me piace invece ragionare sull'energia. Facendo un discorso intermedio si può anche ragionare in termini di legge di moore cioè un raddoppio della potenza di calcolo ogni 18 mesi.

Comunque sia il quantitativo di barili di petrolio estratto ogni giorno è molto poco variabile, quindi il raddoppio della potenza dei miners vale solo se l'efficienza raddoppia conseguentemente, cosa che non si verifica con un consumo elettrico che è già oggi elevato.

Ritengo molto utile ragionare sui grandi numeri e sul concetto di "numero di raddoppi", in quanto non siamo abituati a trattare con grandezze di queste tipo.

Faccio un esempio.

Al momento la potenza computazionale complessiva di tutti i miner del mondo è di circa 8 exahash/sec, cioè vengono effettuate circa 8*(10^18) operazioni al secondo (hash degli header dei blocchi per minarli), ovvero 2^64 operazioni al secondo. La potenza è di 2^89 operazioni/tentativi all'anno.

Supponendo per semplicità che queste operazioni siano equiparabili del tutto (ma non lo sono) a quelle necessarie per generare un indirizzo a partire da una chiave privata, in questo momento una chiave di 89 bit potrebbe essere individuata potenzialmente in 1 anno con un attacco mondiale brute force. A un sistema del genere mancherebbero "solo" 47 raddoppi per poter individuare in 1 anno una collisione con un indirizzo bitcoin.

Da notare che negli ultimi tempi la potenza computazionale dei miner raddoppia ogni 6 mesi, quindi in teoria tra 24 anni ...

Tutto molto più chiaro e lineare, mancavano dei passaggi nel precedente post. La ciliegina sulla torta sarebbe comprendere l'ultimo ragionamento che però mi pare il meno importante.

Si potrebbe dire che servono 2^84 anni per trovare un indirizzo bitcon della blockchain alla attuale potenza di calcolo che trova 2^52 indirizzi all'anno oppure che servono 84 anni se la potenza raddoppiasse ogni anno.

L'idea è che per accedere ai bitcoin presenti "negli" indirizzi della blockchain ci sono 2 modi:

1) trovare la chiave privata esatta di un indirizzo: questo fatto è realmente irrealizzabile, ci sono circa 2^256 chiavi private possibili, sono troppe. Una eccezione si ha nel caso della particolare transazione di cui ho parlato prima, poichè in quel caso conosciamo la distribuzione delle chiavi private coinvolte, ad esempio sappiamo che le prime 60 chiavi si trovano esattamente tra 1 e 2^60. Il progetto LBC è partito proprio dalla chiave privata 1 e sta generando tutte le chiavi private in modo consecutivo e per ognuna va a ricavare l'indirizzo corrispondente e va a verificare se vi sono associati dei bitcoin.

2) trovare una delle 2^96 chiavi private compatibili di un indirizzo (leggi: individuare una collisione). Poichè le chiavi private sono molte di più degli indirizzi possibili, se sto cercando di violare almeno un indirizzo (qualsiasi, non quelli particolari della transazione puzzle) sarà molto più probabile che ci riuscirò generando a caso una chiave "compatibile" piuttosto che generando esattamente la stessa chiave che ha usato colui il quale ha generato per primo quell'indirizzo.
Ora, se io generassi 2^160 chiavi private a caso, probabilmente otterrei quasi 2^160 indirizzi distinti (è quasi così), cioè tutti gli indirizzi. Quindi per violare un indirizzo specifico il modo più economico è quello di generare tutti gli indirizzi corrispondenti alle chiavi private da 1 a 2^160 (questo vuol dire 160 bit di entropia).

Se invece il mio obiettivo non è violare uno specifico indirizzo ma solamente uno qualsiasi contenente bitcoin, serviranno meno chiavi. Poichè vi sono circa 2^24 indirizzi con bitcoin, dovrebbero bastare 2^160 / 2^24 = 2^(160-24) = 2^136 chiavi per trovare una collisione con un indirizzo contenente bitcoin.

Al momento in un anno circa LBC ha generato tutti gli indirizzi relativi alle prime 2^52 chiavi, quindi diciamo che ha una potenza di "sondaggio" di 2^52 indirizzi l'anno. Se moltiplichi questo numero per 2^84, avremmo una potenza sufficiente per trovare una collisione (in un anno) con un indirizzo bitcoin in uso.

Il post di arulbero è veramente interessante. L'ultimo ragionamento non l'ho capito in modo approfondito ma risponde a una domanda che mi ero sempre posto ovvero visto che gli indirizzi sulla blockchain sono tanti quale è la capacità degli attuali sistemi di computazione nel trovare una chiave private che generi un indirizzo presente nella blockchain? E la risposta è arrivato con in più la misura delle attuali capacità computazionali.

Sì, è ancora attivo. Una misura indiretta molto buona (e una volta tanto pratica, non solo teorica) di quanto siano sicuri i nostri bitcoin ci è fornita da una transazione molto particolare di cui si parla in questo thread .

In pratica l'autore della transazione ha inviato a 256 indirizzi diversi dei bitcoin. Ogni indirizzo è protetto da una chiave privata di lunghezza crescente.
La prima chiave privata è "lunga" 1 bit (quindi poteva essere solo 1), la seconda chiave privata è lunga 2 bit (quindi poteva essere 2 o 3), la terza chiave privata è lunga 3 bit (4, 5, 6 o 7), e così via fino alla chiave numero 256.

In questo modo si è costruito un termometro che rileva in tempo reale la capacità di un qualsiasi attaccante di sondare l'enorme numero di chiavi possibili (basta guardare quando i bitcoin relativi alle varie chiavi private vengono sottratti dai rispettivi indirizzi).
In brevissimo tempo furono trovate le prime 20 chiavi, poi man mano ne sono state trovate altre. Il progetto LBC è quello che è riuscito a spingersi più oltre, arrivando a individuare la chiave numero 52. Attualmente si sta cercando la chiave numero 53.

Questo vuol dire che al momento se si genera una chiave con un'entropia dell'ordine di una cinquantina di bit o poco più, la chiave è vulnerabile. L'autore della transazione, come si legge nel thread, solo in un secondo momento si è accorto che in realtà le chiavi dalla numero 161 alla numero 256 sono inutili poichè l'entropia del sistema è 160 bit.

Cosa vuol dire tutto questo da un punto di vista pratico? Che la capacità attuale di calcolo di chiavi private dovrebbe aumentare ancora di un fattore di 2^108 affinchè tutte le nostre chiavi diventino violabili, detto in altri termini dovrebbero esserci 108 raddoppi consecutivi di potenza prima che ciò accada.

Il progetto LBC però non si limita solo a verificare che le chiavi private generate corrispondano agli indirizzi di questa particolare transazione, ma controlla anche tutti gli altri indirizzi con bitcoin della blockchain. Poichè questi indirizzi sono circa 2^24, serviranno circa 2^136 tentativi prima di trovare una collisione con un indirizzo qualsiasi generato normalmente con una entropia di 160 bit. E poichè al momento siamo arrivati a violare chiavi di 52 bit, il sistema di violazione deve aumentare la sua capacità di calcolo di un fattore di 2^84 prima di poter violare almeno un indirizzo a caso della blockchain.

forse una misura piu "comprensibile" e' questa:

e' piu' probabile fare 6 a superenalotto per 5 estrazioni di fila giocando tutte le volte una colonna secca, che trovare la chiave privata di un certo indirizzo estraendo chiavi a caso.

capirete che potete stare abbastanza tranquilli....

Ricordo che tempo fa si era discusso di questo progetto: https://lbc.cryptoguru.org/about

Si parlava di 1000 trilioni di chiavi private già esplorate allora, con qualche collisione effettivamente trovata, poi non so se sia ancora attivo.
https://www.reddit.com/r/Bitcoin/comments/6108q9/large_bitcoin_collider_tried_over_1000_trillion/

Altra vecchia discussione molto interessante, sui brainwallet:
https://bitcointalksearch.org/topic/brainwallets-da-password-1570174

Superficie terrestre: https://it.wikipedia.org/wiki/Terra
Superficie    5,094953216 × 10^14 m²

Quindi: 2^160/5.094953216*10^14=2.86852808136e+33
Per ogni metro quadro ci sono quasi 3*10^33 indirizzi ...

Vabbè comunque tornando al discorso di partenza, anche questo bug potrebbe essere sfruttato dai bot:
https://bitcointalksearch.org/topic/bad-signatures-leading-to-5582152538-btc-theft-so-far-271486
probabilmente qualcuno ci avrà già pensato comunque