Adrian Bednarek, beveiligingsanalist van de organisatie, onderzocht hoe makkelijk het zou zijn om private keys te raden. Hij wist meer dan 700 private keys te raden door gebruik te maken van fouten in de code van private key generators.
Per toeval ontdekte Bednarek dat bij twaalf van de gevonden private keys transacties naar een enkel adres werden verstuurd. En gezien het feit dat het raden van een private key statistisch gezien onmogelijk is, gokt Bednarek dat de hacker hetzelfde als hij deed:
“We vonden 735 private keys, en toevallig stal hij crypto van twaalf van die keys waartoe wij ook toegang hadden. Het waarschijnlijk deed hij hetzelfde deed als wat wij deden.”
De hacker wist de private keys zo te bemachtigen door verschillende fouten in de software van private key generators software te exploiteren. Daarnaast is het mogelijk gebruikers die hun private keys aanmaakten op basis van een passphrase te makkelijke woorden hebben gebruikt. Zo’n generator genereert een private key op basis van een door de gebruiker ingevoerd woord.
Zo’n generator genereert een private key op basis van een ingevoerd woord. Sommige gebruikers gebruiken daarvoor een té makkelijk woord, zoals “abc123”, of laten het veld in zijn geheel leeg. Zo kon de hacker waarschijnlijk gemakkelijk dezelfde private key genereren door dezelfde simpele woorden te gebruiken.
De gestolen ethereum (ETH) zou op dit moment ruim $7.6 miljoen waard zijn.
