Una ricerca condotta da Indipendent Security Evaluators (ISE) è riuscita a risalire a 732 chiavi private di indirizzi Ethereum attivi. Lo studio, rinominato “Ethercombing”, è stato portato alla luce tramite un video e le modalità attraverso cui è stato condotto sono tuttora reperibili online.
ISE, in parole povere, afferma che allo stato attuale vi sarebbero circa 345 milioni di transazioni attive sulla blockchain di Ethereum; transazioni a loro volta generate da 47 milioni di coppie di chiavi. Ciascuna coppia è formata da una chiave segreta e da una chiave pubblica tramite cui vengono generati gli indirizzi dei vari wallet. La possibilità di dar vita a nuovi chiave private già utilizzate da altri indirizzi è di circa 1 su 2^256, il che significa che la cosa sarebbe possibile in linea teorica, ma che di fatto, in termini prettamente pratici, è piuttosto lontana dalla realtà dal poter essere realizzata.
In ogni caso è interessante constatare che ISE sia riuscita a scoprire lo stesso l’esistenza di 732 coppi di chiave private e pubbliche corrispondenti ad indirizzi già in uso sulla blockchain Ethereum. Inoltre, è anche interessante il fatto che siano stati identificati 13.319 ETH trasferiti ad indirizzi di destinazione non validi o a wallet collegati a chiavi deboli, per un controvalore, in termini di dollari, pari a 19 milioni circa.
I fondi che sono connessi a chiavi deboli diventano spesso e volentieri oggetto di furti e, in moltissimi casi, vengono inviati ad un indirizzo di destinazione appartenente ad un soggetto che magari sta conducendo campagne proprio per raccogliere chiave privati deboli al fine di entrare in possesso dei rispettivi fondi. Un esempio? Al 13 gennaio 2018, la cosiddetta “blockchainbandit” controllava la bellezza di 37.926 ETH, per un controvalore di oltre 54 milioni di dollari!
Ma come vengono fuori queste chiavi deboli? La nascita di queste chiavi è molto probabilmente dovuta ad errori di programmazione software, ma è probabile che ad influire vi siano anche problemi dovuti alla memoria del dispositivo utilizzato, così come non sono da escludere errori o danneggiamenti dentro i quali l’errore riesce a trovare campo fertile.
Non è un caso, infatti, se ISE abbia raccomandato di non utilizzare software inattendibili, così come è raccomandabile utilizzare wallet software e hardware affidabili per produrre chiavi privati casuali. Infine, mai generare chiavi private basate su una passphrase!