Blockchain Bandit är tillbaka efter 5 år, flyttar 172 miljoner USD i Ethereum

Plånböcker kopplade till den ökända ‘Blockchain Bandit’-attacken har blivit aktiva efter att ha varit inaktiva i över fem år.

Enligt kryptoutredaren ZachXBT har angriparen samlat 51 000 ETH värt över 172 miljoner USD från 10 olika plånböcker till en enda multi-sig-plånbok.

Vem är Blockchain Bandit Hacker?

ZachXBT:s analys visade att alla 10 plånboksadresser som användes i dagens överföring senast var aktiva 2018. Detta betyder att angriparen har valt att komma åt dessa medel för första gången på över fem år.

Så, vem är denna Blockchain Bandit? För de som är nya inom krypto kan det vara ett okänt namn. Men för långvariga kryptoentusiaster var det ett av de mest fängslande och oroande namnen 2018.

Den ökända “Blockchain Bandit“ är ett pseudonym för en angripare som systematiskt utnyttjade svaga privata nycklar på Ethereum-blockkedjan för att stjäla kryptovaluta. Han blev känd genom att helt enkelt gissa de privata nycklarna till flera sårbara plånböcker och stjäla miljoner i medel.

Angriparen skannade Ethereum-nätverket efter plånböcker som skyddades av svaga, icke-slumpmässiga eller dåligt genererade privata nycklar. Dessa nycklar var ofta resultatet av programmeringsfel eller felaktiga implementeringar av kryptografiska bibliotek.

Blockchain Bandit använde automatiserade skript för att söka på blockkedjan efter sårbara adresser. När en svag nyckel identifierades, överförde angriparen snabbt medel från plånboken till sin egen adress. I de flesta fall tog det dagar innan ägaren blev medveten om stölden.

Totalt kunde hackaren stjäla mer än 50 000 ETH med denna enkla teknik från över 10 000 plånböcker. Namnet ‘Blockchain Bandit’ kom från en WIRED-artikel 2019 som avslöjade mönstret för denna attack.

Under den tiden identifierade en säkerhetsanalytiker vid namn Adrian Bednarek hur banditen använde en förgenererad lista med nycklar för att automatisera skanning och ta ut medel från sårbara plånböcker på några sekunder.

“Du förstår, på Ethereum är privata nycklar 256-bitarsnummer. Att brute-force en är i princip omöjligt. Men vissa plånböcker använde dåliga slumpgeneratorer, vilket skapade svaga privata nycklar. Tänk: lösenord123 eller en tom återställningsfras. En nyckel var bokstavligen… ‘1’. Banditen riktade sig inte bara mot dåliga privata nycklar. Han utnyttjade också: Svaga lösenordsbaserade plånböcker (som “Brainwallets”) och Felkonfigurerade Ethereum-noder. Hans tillvägagångssätt gjorde honom nästan ostoppbar,” skrev Web3-analytikern Pix.

Varför är angriparen aktiv igen efter fem år? 

Även om dessa specifika plånböcker blev aktiva idag för första gången sedan 2018, användes några av de andra plånböckerna för att flytta medel i januari 2023 och köpa Bitcoins.

Trots detta markerade dagens överföring den största konsolideringen av alla stulna ETH-medel från angriparen. Detta kan indikera flera saker.

För det första kan flytt av medel till en multi-signatur plånbok indikera att angriparen förbereder sig för en stor transaktion eller en serie transaktioner. Detta kan inkludera att tvätta medlen genom mixers, decentraliserade börser eller andra verktyg för att dölja deras ursprung.

Att konsolidera medel kan också vara en förberedelse för att likvidera en del eller hela ETH. Att likvidera så stora mängder ETH på den nuvarande marknaden kan dock väcka oro för Ethereums kortsiktiga pris.

Å andra sidan kan angriparen förvänta sig gynnsamma marknadsförhållanden, som en ökning av ETH-priser, för att maximera värdet av sina stulna tillgångar vid likvidation.

Det mest oroande är dock att den konsoliderade ETH kan användas för att finansiera ytterligare attacker. Till exempel genom att finansiera transaktionsavgifter för en ny serie attacker eller möjliggöra operationer på andra blockkedjenätverk.

Sammanfattningsvis kan möjligheten att en så ökänd hackare blir aktiv igen vara en oro för kryptovärlden. Vi har redan sett branschen förlora 2,3 miljarder USD 2023, en massiv ökning med 40 % från 2023. Ethereum var också det nätverk som drabbades hårdast av dessa attacker.