我欲封天耳根小说,雪鹰领主

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

“區(qū)塊鏈大盜”破解私鑰已盜取數(shù)百萬資產(chǎn)，他們是怎么做到的？

去年夏天，艾德里安·貝德納雷克(ADRIAN Bednarek)思考怎么防止黑客竊取以太坊加密貨幣。他是一名安全顧問，當(dāng)時正在給一個從事挖掘加密貨幣行業(yè)的客戶工作。Bednarek被以太坊吸引，尤其是它難以想象的復(fù)雜性，以及移動端可能潛在的安全漏洞。他從考慮最簡單的問題開始：如果以太坊所有者用私鑰存儲他們的數(shù)字貨幣-——私鑰是一串不可預(yù)測的78位數(shù)字串，用于保護(hù)存放在某個地址的貨幣——私鑰是1結(jié)果如何呢?

創(chuàng)新互聯(lián)于2013年創(chuàng)立，先為南丹等服務(wù)建站，南丹等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為南丹企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

令Bednarek驚訝的是，根據(jù)區(qū)塊鏈以太坊所有的交易記錄，即使極其簡單的密鑰也存有貨幣，而且錢已從所在的以太坊錢包里拿出來了——早在Bednarek之前，誰能猜到私鑰是1呢。畢竟，就像比特幣和其他加密貨幣一樣，如果有人知道Ethereum私鑰，他們可以使用密鑰解鎖相關(guān)的公共地址。然后，私鑰允許向那個地址轉(zhuǎn)賬，就像他們是合法的所有者一樣。

最初的發(fā)現(xiàn)激起了貝納萊克的好奇心，所以他又試了幾個連續(xù)的鍵：2、3、4等等幾十個鍵，所有的鍵都被清空了。然后，他和安全咨詢公司的同事編寫了一些代碼，啟動了一些云服務(wù)器，并嘗試了數(shù)十億次。

在這個過程中(正如發(fā)表的一篇論文所詳細(xì)描述的)，他們不僅發(fā)現(xiàn)，在過去幾年里，數(shù)百個用戶只用了很容易猜測的私鑰存儲了他們的數(shù)字貨幣，而且還發(fā)現(xiàn)了他們所謂的“區(qū)塊鏈強(qiáng)盜”。一個以太賬戶一下就吸走了4.5萬以太的財富——價值超過5000萬美元——使用的是同樣的猜鍵技巧。

“他做著和我們一樣的事情，但他超越了我們，”Bednarek說，” 不管這些人是誰，他們都花了大量的計算時間來尋找新的錢包，觀察每筆交易，看看他們是否有鑰匙。”

猶如“海灘淘金”

為了解釋區(qū)塊鏈強(qiáng)盜是如何工作的，首先了解一下猜測隨機(jī)生成的Ethereum私鑰的概率是1 / 115 quattuorvigintillion(或者用分?jǐn)?shù)表示: 1/2256)，這個分母大約是宇宙中原子的數(shù)目。Bednarek把以太坊鑰匙的任務(wù)比作是在海灘上隨機(jī)選擇一粒沙子的概率，在“十億粒”海灘中找到相同的沙子!

但是當(dāng)Bednarek觀察以太區(qū)塊鏈時，看到一些人將Ethereum儲存在更簡單、更容易猜測的鑰匙上。他認(rèn)為，這很可能是Ethereum錢包的錯誤結(jié)果，由于編碼錯誤，錢包剪掉了鑰匙長度的一小部分，或者讓沒有經(jīng)驗的用戶自己選擇鑰匙，甚至包括惡意代碼，破壞了隨機(jī)化過程，讓“小偷”很容易猜到密鑰。

Bednarek和他的ISE同事最終掃描了340億個區(qū)塊鏈地址來尋找這些弱鍵密碼。他們稱這個過程為“以太淘金”，就像“海灘淘金”一樣，在以太的巨大熵中尋找更多可能。他們最終找到了732把可能的鑰匙，這些鑰匙曾一度被使用但后來被清空了。不過據(jù)Bednarek猜測，自以太坊在2015年推出以來，被竊取的弱密鑰總數(shù)中，732只是一小部分。

與此同時，在這些空無一人的地址中，Bednarek很好奇地發(fā)現(xiàn)，似乎有12個地址被同一名“強(qiáng)盜”洗劫一空。他們被轉(zhuǎn)移到一個帳戶——目前擁有45000以太幣。以今天的匯率計算，這相當(dāng)于770萬美元。

Ether Comb, Ether Go以太狗

Bednarek嘗試把一美元的以太幣放入“小偷”之前清空的一個弱鍵地址中。幾秒鐘之內(nèi)，就轉(zhuǎn)移到了其他賬戶上。然后，Bednarek嘗試將一美元放入一個新的、以前從未使用過的弱鍵地址中，它也在幾秒鐘內(nèi)被清空了，這次被轉(zhuǎn)移到一個只有幾千美元的以太賬戶里。但是Bednarek可以從Ethereum區(qū)塊鏈的待處理事務(wù)中看出，有個以太“強(qiáng)盜”也曾試圖抓住它，卻在幾毫秒內(nèi)被他人打敗了?！皬?qiáng)盜”似乎有一大堆預(yù)先生成的鑰匙，并以非人的速度自動掃描著它們。

事實上，當(dāng)研究人員查看“區(qū)塊鏈強(qiáng)盜”以太賬戶的歷史時，他們發(fā)現(xiàn)，在過去的三年里，這個賬戶從數(shù)千個地址中提取以太幣，卻從未有任何資金流出的動作。在以太坊2018年1月的匯率高峰時期，這個強(qiáng)盜的賬戶持有38,000以太幣，當(dāng)時價值5400多萬美元。在那之后的一年里，以太坊的價值直線下降，使其價值下降了85%。

“你不為他感到難過嗎?”Bednarek笑著問。“你遇到個小偷，他積累了這么多財富，然后在市場崩盤時把它們?nèi)假r光了。”

盡管跟蹤了這些記錄，但Bednarek并不知道誰是區(qū)塊鏈強(qiáng)盜。

弱鍵

Bednarek也不能識別出產(chǎn)生弱鍵的錯誤或惡意錢包。相反，他只能看到弱鍵創(chuàng)建的原因和由此導(dǎo)致的盜竊后果。他說:“我們可以看到有人被搶劫，但我們不能確定誰是罪魁禍?zhǔn)住！?特別是對區(qū)塊鏈強(qiáng)盜來說，目前還不清楚簡單的弱鍵是否是盜竊的主要方式。強(qiáng)盜本可以使用其他技巧，比如猜測“腦錢包”的密碼短語，這些密碼是用可記憶的單詞保護(hù)的，這些單詞比完全隨機(jī)的密鑰更容易被侵入。

一個安全研究團(tuán)隊在2017年發(fā)現(xiàn)了2846個比特幣被盜的證據(jù)，這些比特幣都是用腦錢包被盜的，按當(dāng)前匯率計算價值超過1700萬美元。2015年末，一宗以太腦錢包盜竊案就帶走了4萬個以太幣，幾乎和區(qū)塊鏈強(qiáng)盜一樣多。

ISE還沒有在比特幣區(qū)塊鏈上做實驗，但Bednarek已經(jīng)對100多個弱比特幣密鑰進(jìn)行了抽查，發(fā)現(xiàn)相應(yīng)錢包里的東西也都被偷了，不過沒有一個錢包被以太坊強(qiáng)盜之類的大魚偷走——與以太坊相比，比特幣竊賊之間的競爭可能更激烈、更分散。

Bednarek認(rèn)為ISE的經(jīng)驗教訓(xùn)是，對于開發(fā)者來說，要仔細(xì)審計他們的代碼，以發(fā)現(xiàn)任何可能截斷密鑰并使其容易受到威脅bug。用戶應(yīng)該注意選擇密鑰。你不能打電話給服務(wù)臺，讓他們撤銷交易。當(dāng)錢包消失時，它就永遠(yuǎn)消失了。人們應(yīng)該使用可信錢包，并從可信來源下載。拋開匯率的波動不談，區(qū)塊鏈大盜不需要更多的捐款了。

分享題目：“區(qū)塊鏈大盜”破解私鑰已盜取數(shù)百萬資產(chǎn)，他們是怎么做到的？
分享鏈接：http://m.fisionsoft.com.cn/article/coihdhh.html

新聞中心

其他資訊