在以太坊上,猜測私鑰就像猜測彩票中獎號碼一樣,從統計學上來說并不現實。但就有一些用戶耍小聰明,將自己的以太坊私鑰設置成容易記憶的字符,方便了自己的同時,也給區塊鏈大盜留下了可乘之機。
最近《連線》雜志曝出了一個區塊鏈大盜的事跡,他僅靠猜測以太坊私鑰盜走了5000萬美元的以太幣,然而幣價崩潰他的不義之財縮水了85%。
那么,他是怎么偷竊以太幣的呢?靠猜測就能破解別人的私鑰,這是神馬神操作?他又是怎么被揪出來的呢?讓我們一起走進這個區塊鏈大盜的悲喜人生。AdrianBednarek是一名安全顧問,而他的客戶飽受加密貨幣失竊的困擾,于是Bednarek開始站在對手的角度上思考問題。
從去年夏天開始,如何竊取以太幣這個問題一直困擾著AdrianBednarek。當然了,他并不是真的想要成為一個“區塊鏈大盜”。
不過有這么多種加密貨幣,為什么Bednarek要選擇以太幣呢?這是因為以太坊出了名的復雜性,同時以太坊各個復雜的組件都可能會帶來潛在的安全漏洞,這使得以太幣很容易被攻擊。
不過,這里的容易被攻擊只是相對而言的,以太坊也并不是不堪一擊。所以,Bednarek選擇從最簡單的攻擊方式:私鑰入手。
多倫多交易所母公司計劃推出新交易平臺,或將支持加密貨幣和NFT交易:6月16日消息,多倫多證券交易所(Toronto Stock Exchange)的母公司TMX集團正計劃推出一個針對初創企業和另類資產類別的新交易平臺。該公司在本周發布的白皮書中表示,新交易所將針對成長型公司。該公司尚未確定哪些資產類別將在新交易所交易,但正在考慮加密貨幣、NFT、證券化房地產和私營公司的股份。此外,創業版交易所TSX Venture還在考慮為估值不低于5000萬加元、同時尋求1000萬加元獨立融資的公司提供“通行證”,以加快上市流程。[2023/6/16 21:40:54]
我們都知道,以太坊的私鑰是其上賬戶所有權的證明,它可以用來管理以太幣。按照以太坊的規定,私鑰應該是一串很難被猜出的長達256位的二進制數。
不過以太坊用戶為了方便記憶也可以任意設置私鑰,就比如說設置為1,但這種簡單的私鑰很容易被猜出來,因而安全性很差,往往不被人們所采用,人們通常都會使用錢包軟件生成有隨機性的私鑰。
然而出人意料的是,通過檢索區塊鏈上存儲的以太幣交易數據,Bednarek發現還真的有人使用這種極其簡單的私鑰進行交易。
不過這個賬戶中的以太幣已經被轉走了,幾乎可以肯定這筆錢是被區塊鏈大盜偷走的,他趕在Bednarek之前偷走了這筆錢。與比特幣等其他加密貨幣相同,如果有人知道了你的以太坊私鑰,他就能從私鑰中計算得出你的公鑰以及賬戶地址。
比特幣持有者數量創歷史新高:金色財經報道,根據鏈上分析門戶網站Glassnode的數據,頭寸規模在 0.1 到 10 之間的比特幣持有者數量已經超過其歷史值并達到新的高度。其中,持有0.1個BTC以上的錢包數量達到了407萬個大關,而余額大于1個但小于10個BTC的錢包數量達到了952754個。
\u2028[2022/11/28 21:05:28]
所以區塊鏈大盜可以使用這個私鑰轉走你賬戶中的以太幣余額,而區塊鏈上驗證交易的礦工不會也不能核實發起交易的是不是賬戶真正的主人。
這個發現激起了Bednarek的好奇心。所以他連續嘗試了幾個簡單的私鑰:2、3、4,然后又試了10、20、30這樣復雜一點的私鑰,不過所有這些私鑰對應的賬戶余額都被清空了,這么看來,靠猜測私鑰盜竊以太幣并非個案。
為了捕捉更多區塊鏈大盜的信息,Bednarek和他在安全咨詢公司IndependentSecurityEvaluators的同事們編寫了一些代碼,在云服務器上自動化地檢查了上百萬個簡單的私鑰。
Bednarek的團隊將這次實驗的結果寫成了一篇論文,并在周二發表了出來。論文中講到,Bednarek的團隊發現在過去的幾年中,不斷有用戶將自己珍貴的加密貨幣存儲在幾百個私鑰非常容易被猜出來的賬戶之中。
報告:加密貨幣第三季度損失價值4.2億美元,較二季度下降 36%:金色財經報道,Immunefi的第三季度加密損失報告發現,第三季度損失價值428,718,083美元,比第二季度的670,698,280美元下降36%,比去年同期的1,155,334,775美元下降62.9%。其中大部分損失來自涉及跨鏈傳遞協議Nomad和加密做市商Wintermute的兩起事件,分別損失了1.9億美元和 1.6 億美元。這兩個項目約占第三季度虧損的80%。
根據該報告,加密貨幣損失在過去三個季度連續下降,但尚不清楚這一趨勢是否會在今年剩余時間內持續下去。[2022/10/8 12:49:45]
同時,他們還揪出了一個“區塊鏈大盜”。這個大盜已經使用這種猜測私鑰的盜竊方法偷走了近4.5萬個以太幣,按照當時的幣價來算,這筆不義之財價值5000萬美元。
“這個區塊鏈大盜做了和我們一樣的事情,只不過他捷足先登了,”Bednarek說,“我們不知道這個區塊鏈大盜背后是一個人還是一個團伙,但可以肯定的是,他花費了大量的時間和算力來監視每一筆以太幣交易,檢測每一個以太幣錢包,嘗試著去偷走以太幣。”
猜對以太坊私鑰等于沙里淘金
為了更好地解釋區塊鏈大盜是如何偷錢的,首先我們需要說明猜對一個隨機生成的以太坊私鑰的概率。以太坊的私鑰是一個256位的二進制數,因此猜對它的概率是2的256次方分之1,數值上大約是10的78次方分之1,也就是說分母是10后面78個0。
蘇富比拍賣行聘請NFT藝術收藏家加入其數字藝術團隊:金色財經報道,NFT藝術家收藏家Brian Beccafico宣布加入蘇富比拍賣行,該拍賣行已經確認他已經加入了公司。據悉,蘇富比拍賣行在10月推出了自己的NFT平臺Metaverse。Beccafico是在蘇富比Metaverse創建之后加入其數字藝術團隊的。
目前,蘇富比通過多種銷售形式提供NFT,并在紐約、倫敦、巴黎和香港擁有一支專家團隊。(The Block)[2022/8/24 12:44:07]
如何來理解這個量級呢?這個分母大致等于宇宙中原子的個數。對此Bednarek做了一個絕妙的比喻,猜對一個隨機生成的以太坊私鑰的概率無異于在沙灘上找到別人藏好的一粒沙子。
我們常說,不怕神一樣的對手,就怕豬一樣的隊友。雖然以太坊本身的私鑰機制足夠安全,但這架不住有用戶為了省事選擇那些易于猜測的、安全性極低的私鑰。
Bednarek發現了很多這樣的現象,當然了,除了用戶自身的責任以外,錢包軟件也有責任。有些錢包軟件由于編碼錯誤導致其并沒有按照給定的長度生成密鑰,而有些錢包軟件高估了用戶群體對區塊鏈的理解程度,以至于讓一些沒有經驗的用戶直接選擇了自己好記的私鑰。
迅雷數字藏品平臺非同數藝推出宋徽宗《竹禽圖》藏品:金色財經報道,迅雷數字藏品平臺非同數藝將于6月28日上午11時開售宋朝皇帝宋徽宗的《竹禽圖》藏品,該藏品創意以《竹禽圖》為基礎,進行動畫形式的創新創作,讓數字藏品成為文物活起來,本數字藏品為《竹禽圖》部分動畫一件。此次發售的《竹禽圖》藏品是由中國文物報社發起的“海外文物藝術專題”作品之一,《竹禽圖》真跡現藏于美國大都會博物館。藏品限量出售3000份,現已開啟預約。非同數藝上的數字藏品均基于迅雷鏈技術鑄造生成,用戶購買的數字藏品具有唯一性、不可篡改、不可分割等特性。[2022/6/27 1:33:34]
最壞的情況是,錢包軟件的開發人員故意破壞了私鑰隨機生成的過程,以便后期猜出用戶的私鑰并盜走用戶的以太幣。
為了找到那些私鑰安全性較差的地址,Bednarek的團隊最終掃描了340億個以太坊地址。他們將這個過程稱為“以太幣搜索”。就像在沙灘上尋找一粒沙子一樣,只不過在以太幣搜索中,私鑰的排列更加無序,要找的目標也更多。
最終他們找到了732個曾經存有過以太幣但最后余額被清空了的賬戶。雖然其中一些賬戶余額清空無疑是賬戶主人所為,但Bednarek指出,自2015年以太幣正式面世以來,以太坊上發生過很多起因私鑰安全性較差導致的以太幣失竊事件,他找到的這732個賬戶可能只是冰山一角。
被侵入的以太坊賬戶分部
與此同時,在那些被清空的賬戶中,Bednarek發現了一個很有趣的現象,有12個賬戶是被同一個區塊鏈大盜清空的。
也就是說,這12個賬戶中的以太幣余額都被轉移給了同一個賬戶,而這個賬戶的以太幣持有量達到了驚人的4.5萬個。即使在以太幣幣價已經跌得慘不忍睹的今天,這些以太幣仍價值770萬美元。
高手過招,招招致命
區塊鏈大盜已經偷了這么多錢,現在他有沒有金盆洗手呢?帶著這個問題,Bednarek又做了一個實驗。他給一個曾被區塊鏈大盜清空過的私鑰安全性較差的賬戶中轉入了價值1美元的以太幣,出乎所有人意料的是,僅僅過了幾秒鐘,這筆錢就被區塊鏈大盜收入囊中。
緊接著Bednarek給一個未被使用過的私鑰安全性較差的賬戶中轉入了價值1美元的以太幣,短短幾秒內這筆錢也被清空了,不過這次收款人的賬戶與上次不同,這個賬戶只持有價值數千美元的以太幣。
在以太坊區塊鏈的未決交易中,Bednarek發現有另一個區塊鏈大盜也在搶這1美元的以太幣,只不過晚了一步,沒有搶到。這么看來,這些區塊鏈大盜似乎都有一個數量龐大的,預先生成的公鑰私鑰列表,并以非常人所能做到的速度自動化地掃描這些賬戶。
事實上,研究人員在查看區塊鏈大盜在以太坊區塊鏈上留下的“罪證”時發現,在過去的三年中這個大盜從數千個以太坊賬戶中盜取了以太幣,但他從未有過向外界轉移以太幣的記錄,Bednarek認為這可能是一起自動執行的以太幣盜竊事件。
在2018年1月以太幣幣價達到頂峰時,區塊鏈大盜的賬戶持有3.8萬個以太幣,在當時價值超過了5400萬美元。從那時起,以太幣幣價一落千丈,區塊鏈大盜的財富也縮水了約85%。
“你會為他感到難過么?”Bednarek笑著問道,“這個區塊鏈大盜竊取了大量的財富,但隨著市場的萎靡,這些不義之財也在大幅度縮水。”
區塊鏈的匿名性設計對實驗造成了一定的干擾。盡管Bednarek對區塊鏈大盜的犯罪事實一清二楚,但他沒有任何辦法來找出這個人的真實身份。不過,鑒于朝鮮政府使用加密貨幣躲避經濟制裁的目的以及其最近幾年盜取了超過5億美元加密貨幣的事實,Bednarek開始懷疑朝鮮,他說“我覺得這背后可能是國家的行為,而且可能就是朝鮮,但這只是猜測。”
私鑰的安全性
除了無法揪出區塊鏈大盜的真實身份以外,Bednarek也無法識別是哪些錢包軟件由于故障或損壞生成了安全性較差的私鑰,他只能看到這些安全性較差的私鑰被創造出來并因此導致以太幣失竊的證據。
Bednarek說“我們可以看到用戶的以太幣失竊,但我們不能明確這是哪個錢包軟件的責任”。對于區塊鏈大盜,目前尚不清楚他的不義之財是否都來源于那些私鑰安全性較差的賬戶,因為除此之外,他還可能有其他的盜竊技巧。
比如說猜測“腦錢包(BrainWallet)”生成的賬戶私鑰。腦錢包只需用戶提供幾個單詞,它就會自動生成私鑰和公鑰,乍一看感覺這種方法非常方便,但是這些單詞生成的公鑰私鑰比完全隨機生成的更容易被暴力破解。
在2017年,一個安全研究人員團隊發現一個區塊鏈大盜通過攻擊腦錢包總共偷走了2846個比特幣,即使在比特幣幣價大幅度跳水的今天,這些比特幣的價值仍超過了1700萬美元。無獨有偶的是,在2015年年底,一個區塊鏈大盜通過攻擊以太坊上的腦錢包偷走了近4萬個以太幣,和上文中那個區塊鏈大盜“不分伯仲”。
Bednarek的團隊還沒有在比特幣區塊鏈上重復這樣的實驗。不過Bednarek已經對100個左右私鑰安全性較差的比特幣賬戶進行了一次抽查,他發現相應賬戶的余額全部被清空了。
但在比特幣上并沒有出現以太坊上一個區塊鏈大盜獨大的現象,可能是因為比特幣作為第一大加密貨幣,所以在比特幣區塊鏈上盜賊之間的競爭也更加激烈,因而贓款的分布也就更加去中心化。
Bednarek這次的實驗給錢包軟件開發人員上了生動的一課。開發人員應該仔細審核錢包軟件的代碼,以找出可能會導致生成的私鑰安全性較差以及有其他風險的漏洞。
同時,對于用戶來說,用戶應該謹慎選擇錢包軟件。“因為在你的加密貨幣被盜后,你不能打電話給服務臺,要求他們撤銷交易。它們被盜走后,就再也找不回來了,”Bednarek說,“所以說人們應該選用值得信賴的錢包軟件,并從官網等可靠的來源處下載它們。”
不要讓你心愛的加密貨幣成為交給區塊鏈大盜的學費
TNW在其最新發布的Ripple2019年Q1報告中稱,XRP今年開局并不盡如人意。XRP在2017年牛市過后經歷了價格巨變,并且在2018年最后一個季度則呈現涓滴效應.
1900/1/1 0:00:00據DAppTotal05月06日數據顯示,過去一周,綜合對比ETH、EOS、TRON、IOST四大公鏈的DApp生態情況發現:總用戶量(個):EOS(227,254)>TRON(120.
1900/1/1 0:00:00自區塊鏈市場經歷了大起大落、后又經過一輪大熊市的沉淀之后,理性對待這一顛覆性新技術的聲音漸漸占據了主流位置.
1900/1/1 0:00:00關于PLST Philosafe是基于以太坊的、去中?化的、區塊鏈多維度安全維系平臺,由愛沙尼亞的PhilosafeFundOü公司設計并開發.
1900/1/1 0:00:00《華爾街日報》今日曝光Facebook穩定幣項目,大量細節得到披露。該項目內部代號為“ProjectLibra”,Facebook已經在招聘財務公司來幫助公司上線這一產品,這一產品即將發布,如果.
1900/1/1 0:00:00劉毅老師深入探討了DApp開發的現狀、公鏈的三種擴容思路、以太坊向Serenity的進程、GavinWood的新征程Polkadot、殊途同歸Cosmos、DApp開發比較、網絡拓撲比較、辨析「.
1900/1/1 0:00:00