📒 Сколько существует сид-фраз и почему у вас не выйдет открыть чужой кошелёк перебором?
Известно, что в некастодиальных TON-кошельках защиту обеспечивают «секретные фразы» (seed phrases) из 24 слов, но зачастую люди не задумываются, почему эта защита надёжна.
⚫️ На традиционных сайтах взломщику могут потребоваться и логин, и пароль, и код из SMS, а после ряда неудачных попыток могут ещё и заблокировать. А здесь лишь один набор слов и нет ограничения на число попыток. Казалось бы, можно перебирать варианты, пока не откроешь чей-то кошелёк. Почему мошенники ещё не сделали бота для этого? Почему сид-фразы считают надёжными, и кто их вообще придумал?
⚫️ Идея возникла в мире Bitcoin. До «секретных фраз» там использовались наборы символов, которые сложно запомнить и при вводе которых легко ошибиться. Поэтому в рамках инициативы BIP-39 предложили более удобные «мнемонические фразы». И составили публично доступный «словарь» из 2048 слов, которые могут использоваться в таких фразах. Позже этот подход вместе со словарём стали использовать в других блокчейнах, в том числе TON.
⚫️ Казалось бы, 2048 слов — это довольно ограниченный набор (Шекспир использовал десятки тысяч слов), что помогает взломщикам. Однако, если для каждого слова в сид-фразе есть 2048 вариантов, а всего в ней 24 слова, то для подсчёта общего количества вариантов сид-фраз необходимо возвести 2048 в соответствующую степень. Получится число из почти что сотни цифр, что сопоставимо с количеством атомов во Вселенной. И пока что в TON созданы лишь десятки миллионов кошельков — это число состоит из всего лишь семи цифр. То есть на каждую сид-фразу, скрывающую за собой активированный кошелёк, приходится невероятное число «пустышек».
⚫️ Получается, что теоретически кошельки можно захватывать перебором, но практически это было бы неэффективным, даже если бы на эту задачу пустили все компьютеры Земли (кроме квантовых, но про них пока рано говорить). Стоимость такого перебора во много раз превышала бы возможную выгоду от взлома, делая процесс бессмысленным. Пытаться открыть кошелёк подбором — это примерно как тыкать иголкой в воздух наугад, надеясь попасть в атомы из последнего вздоха Альберта Эйнштейна. Так что, если переживаете о сохранности своего кошелька, лучше делайте это по принципу «вдруг гигантский метеорит разрушит всё, включая крипту»: такое событие и то вероятнее.
🖊 При этом механизм сид-фраз доставляет неудобства в другом отношении. Если кто-то узнал (не перебором) вашу сид-фразу от некастодиального кошелька, он получает к нему полный доступ, поскольку при выводе средств нет никаких «подтверждающих кодов из SMS». Но в Tonkeeper уже сообщили, что в 2025-м намерены всё же реализовать двухфакторную аутентификацию — посмотрим, как она будет работать.
@thedailytonrus
