18.02.2022 21:37
MBoyarov 16 2700 Источник

Думаю, все встречали в продаже файлы wallet.dat с утерянными паролями от криптокошельков Bitcoin-QT. Часто к ним даже прилагаются варианты или подсказки к паролю. При необходимых знаниях и достаточной вычислительной мощности можно попытать удачи в деле подбора пароля к кошелькам и получить доступ к биткоинам и альткоинам. Однако, большая часть таких файлов - фэйковые. Как же определить подлинность файла? Расскажу о способах проверки.

Сам файл - база данных Berkeley DB, в которой записаны приватные ключи, значения настроек, адресная книга и транзакции.

Для начала достаточно поискать hex-редактором слово “xingfeng” (это самые популярные фэйки из Китая). Нашли адрес этого сайта в коде - можно дальше не продолжать.

Далее кладем файл в папку wallets и синхронизируем Bitcoin-QT. Если появились балансы и записи watch-only, значит адреса только для просмотра и приватников там не будет. Такой кошелек не фэйковый, но для нас бесполезный.

добавлены адреса только для наблюдения
добавлены адреса только для наблюдения

Бывает, что hex-редактором заменили только адрес кошелька. Тогда после синхронизации появятся старые транзакции и баланс. Кажется, что кошелек настоящий. Однако, если отправить на этот адрес монеты (хотя бы минимальный dust), транзакция не появится, потому что адрес другой.

Важный момент - количество транзакций в списке должно совпадать с данными блокчейн-эксплореров. А все входящие и исходящие адреса можно найти, вбив в поиск "name" в hex-редакторе. Если есть расхождения по количеству транзакций или в записной книжке, то кошелек фальшивый 100%.

В старых кошельках при генерации нового адреса заводится несколько адресов и все они хранятся в файле, при этом размер файла меняется при синхронизации. После принятия BIP32 (HD wallet) для каждого платежа создается новый биткоин-адрес, а ключи хранятся в формате xpriv, размер файла не меняется независимо от количества сгенерированных адресов. Это тоже один из способов проверки. Кроме того, можно проверить типы адресов (segwit или p2pkh) в соответствии с версией кошелька.

Если нужный файл wallet.dat открыт в приложении Bitcoin-QT по умолчанию, то в консоли вводим команду "dumpprivkey 1LfV1tSt3KNyHpFJnAzrqsLFdeD2EvU1MK" , которая вернет:

  • код 10, значит нужно ввести passphrase (пароль)

  • приватный ключ, если пароль введен или не установлен, либо

  • ошибку "Private key for address 1LfV1tSt3KNyHpFJnAzrqsLFdeD2EvU1MK is not known (code -4)", значит файл фэйковый.

Вот такие нехитрые способы проверки подлинности файлов wallet.dat существуют. Ну и в целом, остерегайтесь сомнительных сайтов. Тут правила простые: покупайте только у продавцов с положительной историей, просите время проверки или берите через эскроу. В основном, мошенники не дают времени проверить файл, торгуются или продают несколько файлов по цене одного, но… как показывает практика, как только они получили деньги - пропадают. Так что будьте внимательны, и удачи!

Источники:
https://bitcointalk.org/index.php?topic=5242967.msg54284429#msg54284429
https://hashcat.net/forum/
https://allprivatekeys.com

Комментарии (16)


  1. NeoCode
    18.02.2022 22:23
    #24092155
    +3

    Думаю, выиграть в казино и то большая вероятность: она хотя-бы ненулевая.


    1. MBoyarov Автор
      19.02.2022 09:46
      #24093209

      Периодически старые монеты из таких кошельков начинают двигаться, значит кто то справился с задачкой. Да и лично знаю пару человек у кого получилось. Удача улыбается подготовленным.


      1. NeoCode
        19.02.2022 12:19
        #24093751
        +2

        Монеты из старых кошельков, которые лежали где-то на старых компах в кладовке у своих законных хозяев, а потом про них вспомнили - да, возможно. Монеты из кошельков, которые продаются на теневом рынке (и скорее всего были скачаны незаконно) - никогда не поверю, любой такой продавец в первую очередь поставит колешек на брутфорс по словарю, а уже когда у него ничего не выйдет - будет продавать.


  1. stalinets
    19.02.2022 00:23
    #24092535

    А какая там защита от брута? Сколько и каких символов пароль нужно ставить, чтобы гарантированно не высчитали пароль на нынешнем железе за годы?


    1. MBoyarov Автор
      19.02.2022 09:37
      #24093179

      Из файла получают хэш пароля и дальше брутят его по словарям или по маске.


      1. stalinets
        19.02.2022 11:26
        #24093551

        Я, конечно, не спец, но помню, что вроде как в архивах WinRAR брутинг сильно затруднён, и количество попыток в секунду относительно невелико. Вот и интересно, а как тут. Если голый хеш, видимо, защиты особо нет?


        1. NeoCode
          19.02.2022 12:20
          #24093757

          Как это? Если алгоритм шифрования известен (а он по определению известен), то просто пишется отдельный софт для перебора, никакой winrar для этого не нужен.


          1. Sulerad
            19.02.2022 19:01
            #24095187

            Сильно затруднить перебор можно при помощи специализированного хеширования, например тот же Argon2. Тут хоть алгоритм шифрования и известен, но ресурсов требует неразумно много для эффективного брутфорса, как ни крути.


        1. MBoyarov Автор
          19.02.2022 15:47
          #24094417

          Да, там только хэш, поэтому нет ограничений.
          Брутят его с помощью hashcat или thegrideon на видеокартах.


          1. stalinets
            19.02.2022 16:45
            #24094649

            И какая длина пароля (если он со служебными символами) считается в этом случае на сегодня безопасной?


            1. MBoyarov Автор
              19.02.2022 16:58
              #24094727

              Везде разные длины, ведь их люди придумывают.
              Можно 10 раз подряд написать Kitty и такой пароль не подобрать брутфорсом, но если знаешь из какого слова, то легко.


              1. stalinets
                19.02.2022 17:25
                #24094891

                Ну вот я про случай, когда подход к выбору пароля происходит с умом, т.е. используется рандомный набор букв в разных регистрах, цифр и спецсимволов. Вопрос ведь актуален не только для wallet.dat, но и для прочих оффлайн-кейсов (запароленные архивы, пароли в ОС и т.п., где нет защит от брутфорса). Думаю, что пароль на 4-5 символов по вышеуказанным правилам сдастся очень быстро. А на 10 символов? На 20? 30?


  1. nochkin
    19.02.2022 00:55
    #24092621
    +1

    Не понял. Зачем "добросовестному" продавцу пытаться заработать на продаже кошелька если он может сам получить с него деньги?

    Это из серии "продаю курс как заработать кучу денег на бирже", но сам продавец курса зарабатывать может только на его продаже.

    Я бы скорее сделал вывод типа "не ведитесь на обман с покупкой кошельков".


    1. MBoyarov Автор
      19.02.2022 09:44
      #24093205

      Для брута потребуется вычислительная мощность, знания, некоторая удача и время.

      В основном в продаже файлы, в которых уже несколько лет нет никакой активности. Даже сами владельцы кошельков обращаются к профессионалам для подбора, потому что помнят какие то обрывки пароля, но зайти не могут.


      1. nochkin
        19.02.2022 19:48
        #24095309

        Про обращение хозяев я знаю, есть много увлекательных и интересных историй с разным исходом. Я именно про продажу на сторонних сервисах одного кошелька по несколько раз.


        1. MBoyarov Автор
          20.02.2022 07:33
          #24096573

          Да, есть пара десятков паблик кошельков, которые встречаются везде. А есть действительно редкие и уникальные.