Arthur Yan Lobby

САМЫЙ ПРОСТОЙ ВЗЛОМ TON КОШЕЛЬКА

Слышали, что TonKeeper и MyTonWallet неприступны?

Хорошо, давайте проверим это на практике. Разберем, как взломать любой TON кошелек методом перебора seed-фразы. Спойлер: метод рабочий не для всех

Парочку вводных

Каждый кошелек защищен seed-фразой из 12 или 24 слов. Эти слова берутся из словаря BIP39 – там ровно 2048 вариантов (словарь). Слова могут повторяться, так что теоретически ваша фраза может быть из 12 одинаковых «gas» (если вы – Ладесов) или «trip» (если вы – Ворм).

Сколько всего комбинаций нужно перебрать?

- Для 12-словного кошелька: 2048¹² = 5,44 × 10³⁹ (дуодециллион, вы этого слова больше никогда не увидите в жизни)

- Для 24-словного: 2048²⁴ = 2,96 × 10⁷⁹ (видинтисексиллион, и это тоже)

Звучит много, но для кого? Для человека явно многовато, а для современного мощного железа?

Если у криптанов есть деньги на майнинг, то и на взлом найдется. Берем топовую RTX 4090 – она проверяет около 100 миллионов seed-фраз в секунду. Звучит внушительно, согласны?

Но вот незадача: для взлома 12-словного кошелька при такой скорости понадобится 1,72 × 10²⁵ лет. Возраст Вселенной – 13,8 миллиарда лет. Начинаете понимать масштаб нашей задачи?

- Окей, но это же время исключительно для одного конкретного кошелька, а если нам любой кошелек подойдет, а не один конкретный (кошелек Дурова)

Что если просто генерировать случайные seed-фразы и надеяться наткнуться на ЛЮБОЙ активный кошелек? Это же должно быть проще?

В TON примерно 50-100 миллионов кошельков (tonstat.com), из них с деньгами – ~5-10 миллионов.

Таким образом, наш шанс найти любой активный кошелек: 1 к 5,44 × 10³² за итерацию подбора.

Это примерно как выиграть в лотерею четыре раза подряд, где в каждой лотерее один выигрышный билет из триллиона триллионов.

Даже этот пример становится непонятным из-за огромных чисел, да?

Ладно, раз мы серьезно занимаемся взломом, давайте посчитаем бюджет. Берем ферму из 1000 топовых GPU за $2 миллиона. Она жрет 1 МВт – это $100 в час на электричество. За год проверит 3 × 10²¹ комбинаций, потратив $876 000 на свет. Шанс найти что-то остается смешным.

И вот засада: большинство кошельков пустые. Даже если чудом найдете доступ, вероятность увидеть там хотя бы доллар – почти нулевая. Бизнес-план для инвесторов вряд ли будет внушать доверие.

А теперь: Рабочие методы взлома

Раз брутфорс не работает, что тогда реально работает? Не тупой перебор, а поиск дыр в реализации: кривые генераторы случайных чисел, утечки части seed-фразы, социальная инженерия. (Это важно знать не только для взлома чужого кошелька, но и чтобы не попасться на чужие уловки)

Как итог:

Математика безжалостна к хакерам. Взлом seed-фраз перебором – это не технический вызов, а физический абсурд. Энергии для такого дела хватило бы запитать небольшую страну на миллиарды лет.

Реальная угроза – человеческий фактор: люди сами сливают seed-фразы, ведутся на фишинг, разработчики косячат в коде.

Так что нет, ни ваши TonKeeper и MyTonWallet, ни другие некастодиальные кошельки схожего типа, взломать нельзя. Не потому что так все вокруг говорят, а потому что математика делает перебор физически невозможным.

P.S. Если все-таки решите попробовать – удачи. Вселенная исчезнет раньше, чем найдете хотя бы один кошелек. Но зато теперь вы знаете, почему ни этот гайд не работает, ни любой другой.

Но если математически взломать нельзя, то почему кошельки и смарт-контракты все-таки взламывают? Разберем реальные методы атак и дыры в безопасности в следующих материалах @gamedevdead

#DeFi

1.75K

www.tgoop.com/gamedevdead/374

2.13K viewsJul 4 at 10:49

САМЫЙ ПРОСТОЙ ВЗЛОМ TON КОШЕЛЬКА

Слышали, что TonKeeper и MyTonWallet неприступны?

Хорошо, давайте проверим это на практике. Разберем, как взломать любой TON кошелек методом перебора seed-фразы. Спойлер: метод рабочий не для всех

Парочку вводных

Каждый кошелек защищен seed-фразой из 12 или 24 слов. Эти слова берутся из словаря BIP39 – там ровно 2048 вариантов (словарь). Слова могут повторяться, так что теоретически ваша фраза может быть из 12 одинаковых «gas» (если вы – Ладесов) или «trip» (если вы – Ворм).

Сколько всего комбинаций нужно перебрать?

- Для 12-словного кошелька: 2048¹² = 5,44 × 10³⁹ (дуодециллион, вы этого слова больше никогда не увидите в жизни)

- Для 24-словного: 2048²⁴ = 2,96 × 10⁷⁹ (видинтисексиллион, и это тоже)

Звучит много, но для кого? Для человека явно многовато, а для современного мощного железа?

Если у криптанов есть деньги на майнинг, то и на взлом найдется. Берем топовую RTX 4090 – она проверяет около 100 миллионов seed-фраз в секунду. Звучит внушительно, согласны?

Но вот незадача: для взлома 12-словного кошелька при такой скорости понадобится 1,72 × 10²⁵ лет. Возраст Вселенной – 13,8 миллиарда лет. Начинаете понимать масштаб нашей задачи?

- Окей, но это же время исключительно для одного конкретного кошелька, а если нам любой кошелек подойдет, а не один конкретный (кошелек Дурова)

Что если просто генерировать случайные seed-фразы и надеяться наткнуться на ЛЮБОЙ активный кошелек? Это же должно быть проще?

В TON примерно 50-100 миллионов кошельков (tonstat.com), из них с деньгами – ~5-10 миллионов.

Таким образом, наш шанс найти любой активный кошелек: 1 к 5,44 × 10³² за итерацию подбора.

Это примерно как выиграть в лотерею четыре раза подряд, где в каждой лотерее один выигрышный билет из триллиона триллионов.

Даже этот пример становится непонятным из-за огромных чисел, да?

Ладно, раз мы серьезно занимаемся взломом, давайте посчитаем бюджет. Берем ферму из 1000 топовых GPU за $2 миллиона. Она жрет 1 МВт – это $100 в час на электричество. За год проверит 3 × 10²¹ комбинаций, потратив $876 000 на свет. Шанс найти что-то остается смешным.

И вот засада: большинство кошельков пустые. Даже если чудом найдете доступ, вероятность увидеть там хотя бы доллар – почти нулевая. Бизнес-план для инвесторов вряд ли будет внушать доверие.

А теперь: Рабочие методы взлома

Раз брутфорс не работает, что тогда реально работает? Не тупой перебор, а поиск дыр в реализации: кривые генераторы случайных чисел, утечки части seed-фразы, социальная инженерия. (Это важно знать не только для взлома чужого кошелька, но и чтобы не попасться на чужие уловки)

Как итог:

Математика безжалостна к хакерам. Взлом seed-фраз перебором – это не технический вызов, а физический абсурд. Энергии для такого дела хватило бы запитать небольшую страну на миллиарды лет.

Реальная угроза – человеческий фактор: люди сами сливают seed-фразы, ведутся на фишинг, разработчики косячат в коде.

Так что нет, ни ваши TonKeeper и MyTonWallet, ни другие некастодиальные кошельки схожего типа, взломать нельзя. Не потому что так все вокруг говорят, а потому что математика делает перебор физически невозможным.

P.S. Если все-таки решите попробовать – удачи. Вселенная исчезнет раньше, чем найдете хотя бы один кошелек. Но зато теперь вы знаете, почему ни этот гайд не работает, ни любой другой.

Но если математически взломать нельзя, то почему кошельки и смарт-контракты все-таки взламывают? Разберем реальные методы атак и дыры в безопасности в следующих материалах @gamedevdead

#DeFi

BY Arthur Yan Lobby