CONT:?以太坊私鑰不夠隨機，黑客破解私鑰進行盜幣_ONT

Odaily星球日報出品作者|秦曉峰編輯|盧曉明

據securityevaluators消息，獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究，該研究主要針對以太坊錢包私鑰的安全性。ISE發現，目前在以太坊區塊鏈上有732個私鑰由于隨機性不高，存在被盜風險。此外，自去年開始，一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動，一度達到37926個ETH。直到今天，該組織仍未停手。私鑰隨機性不高

以太坊公鑰和地址的生成依賴私鑰，有了私鑰就能生成公鑰和地址，就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數，由32個byte組成的數組，1個byte等于8位二進制，一個二進制只有兩個值：0或者1。所以私鑰的總數是將近2^(8*32)=2^256個，破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示，雖有理論上還是存在概率，但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰，也需要大約幾年的時間，實際上我們根本沒有這樣的計算資源。不過，ISE卻在實驗中發現，由于一些生成私鑰的錢包軟件編碼存在錯誤，導致產生的私鑰隨機性不高，容易被計算機暴力破解。ISE舉例說，本來一個256位的私鑰應該是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題，私鑰的完整性在輸出時被截斷為32位，產生結果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言，破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤，內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機，安全性降低。ISE研究人員在實驗中發現，目前以太坊區塊鏈上共有732個私鑰隨機性不強，存在泄漏風險；當前這些私鑰仍出于活躍狀態，并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰，ISE研究人員向其中一個地址轉入了價值1美元的ETH，結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現，Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰，最高峰時該地址余額達到37,926個ETH的余額，當時價值5400萬美元。直到今天，該組織仍未停手。以太坊本身沒有問題

耐克Web3收藏品平臺.SWOOSH發布首個數字運動鞋系列，銷售額超100萬美元:金色財經報道，耐克旗下的 Web3 收藏品平臺 .SWOOSH 發布了其首款名為 Our Force 1 的 NFT 運動鞋系列，銷售額已超過 100 萬美元。此次發售于 5 月 15 日以“First Access”開始，經過多次延遲后，遇到阻礙用戶體驗等多個技術問題。“General Access”銷售于 5 月 24 日開始，比最初提議的日期晚了兩周，該平臺還遇到了擁堵和技術問題，導致許多人無法鑄造，目前銷售仍正在進行中。

據官網介紹，.SWOOSH 是一種全新的社區體驗，旨在讓用戶有機會共同創造耐克的未來。[2023/5/27 9:45:08]

私鑰出現問題，是不是意味著以太坊區塊鏈本身技術存在漏洞？以太坊研究人員胡靖宇向Odaily星球日報表示，目前出現的低安全性私鑰，主要是錢包的問題，和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說，除了隨機數，簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值，目前BTC和ETH都用RFC6979產生這個值，這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節，導致私鑰外泄。”在報告最后，ISE也向開發人員和用戶給出了建議：針對開發人員：使用比較知名的庫或特定平臺的模塊生成隨機數；使用加密安全的偽隨機數生成器；審計源代碼和生成的編譯代碼，以驗證隨機生成的密鑰不會被截斷；使用多個熵源；利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶：不要使用可能獲取私鑰的不可信軟件；私鑰應該是完全隨機的，因此使用可信的軟件和硬件錢包生成私鑰；不要生成基于某種密碼的私鑰，因為更容易被破解。此前，私鑰總被認為是不可攻破的，但從目前的情況來看，堅固的堡壘卻先從內部瓦解。另外，根據IBM研究中心的負責人ArvindKrishna所言，量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據，包括私鑰。

報告：今年第一季度的NFT交易量創下歷史新高:金色財經報道，根據DappRadar周四發布的一份報告，2023年第一季度，虛擬世界的NFT交易有所增加，今年迄今為止總計3.11億美元。根據該報告，由于Yuga Labs旗下的Otherside和MG land等平臺在該領域占據主導地位，虛擬土地交易在過去一個季度達到了14.7萬筆的歷史新高。[2023/3/24 13:23:04]

Web3 追蹤工具 Context 將停用 Context.app:金色財經報道，Web3 追蹤工具 Context 宣布將于 4 月 15 日停用 Context.app。Context 允許用戶導出關注列表至其同類產品——鑄造聚合器 mint.fun。

Context 于 2022 年年 4 月份完成 1950 萬美元融資，Variant Fund 與 OpenAI 首席執行官 Sam Altman 領投，Dragonfly Capital 等參投。[2023/3/17 13:09:53]

高盛正籌集20億美元計劃收購Celsius出售的不良資產:金色財經報道，兩位知情人士透露，高盛正在尋求從投資者那里籌集20億美元，以從陷入困境的加密借貸平臺Celsius手中收購不良資產。知情人士稱，擬議的交易將允許投資者在申請破產時以潛在的大幅折扣購買公司資產。據華爾街日報周五報道，Celsius已經聘請了重組咨詢公司Alvarez & Marsal。

此外，知情人士透露，高盛似乎正在尋求從Web3 加密基金、專門研究不良資產基金和手頭有充足現金的傳統金融機構獲得資金承諾。截至今年5月， Celsius 已向客戶貸款超過80億美元，管理資產達120億美元，該公司于6月12日突然宣布將停止從其平臺提款，理由是“極端的市場條件”。[2022/6/25 1:30:31]

Tags：以太坊ISEONTCONT以太坊幣價格今日行情價格紅色是漲嗎Severe Rise Games TokenFRONTContribute

Luna