Uit onderzoek van Independent Security Evaluators blijkt dat een hacker ruim 45.000 ether (ETH) heeft gestolen. Het opvallende aan de vondst is dat de hacker de ether wist te stelen door de private cryptocurrency keys van de bijbehorende wallets te raden. Dit stelt de organisatie in het rapport dat het op 23 april publiceerde.

De analist die het rapport opstelde, Adrian Bednarek, deed zelf onderzoek naar de mogelijkheid om private keys te raden. Hij wist met zijn team ruim 700 private keys te raden door op zoek te gaan naar fouten in de code van software die deze cryptocurrency keys aanmaken.

Aangezien het uit het niets raden van private keys statistisch gezien onmogelijk is, denkt Bednarek dat de hacker hetzelfde deed als hij en zijn team. Volgens Bednarek wist de hacker op die manier twaalf private keys te raden:

“We vonden 735 private keys, en toevallig stal hij geld van 12 van die keys waartoe wij ook toegang hadden. Het is statistisch onwaarschijnlijk dat hij die private keys zomaar heeft kunnen raden, dus waarschijnlijk deed hij hetzelfde als wat wij deden.”

Het is onduidelijk of de twaalf private keys de enige keys zijn die de hacker wist te bemachtigen. De gestolen ether zou op dit moment ruim €7 miljoen waard zijn.

De hacker wist de private keys waarschijnlijk te bemachtigen door fouten in de software van private key generators op te sporen. Daarnaast is het mogelijk dat de hacker dergelijke generators gebruikte om private keys te raden van mensen die hun private keys aanmaakten op basis van een passphrase. Zo’n generator genereert een private key op basis van een door de gebruiker ingevoerd woord.

Sommige gebruikers vullen echter een té makkelijk woord in, zoals “abc123”, of laten het invoerveld volledig leeg. Op die manier kon de hacker waarschijnlijk met dezelfde makkelijke woorden dezelfde private key genereren.