以太坊:?以太坊私鑰不夠隨機，黑客破解私鑰進行盜幣_如何挖以太坊幣

Odaily星球日報出品作者|秦曉峰編輯|盧曉明

據securityevaluators消息，獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究，該研究主要針對以太坊錢包私鑰的安全性。ISE發現，目前在以太坊區塊鏈上有732個私鑰由于隨機性不高，存在被盜風險。此外，自去年開始，一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動，一度達到37926個ETH。直到今天，該組織仍未停手。私鑰隨機性不高

以太坊公鑰和地址的生成依賴私鑰，有了私鑰就能生成公鑰和地址，就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數，由32個byte組成的數組，1個byte等于8位二進制，一個二進制只有兩個值：0或者1。所以私鑰的總數是將近2^(8*32)=2^256個，破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示，雖有理論上還是存在概率，但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰，也需要大約幾年的時間，實際上我們根本沒有這樣的計算資源。不過，ISE卻在實驗中發現，由于一些生成私鑰的錢包軟件編碼存在錯誤，導致產生的私鑰隨機性不高，容易被計算機暴力破解。ISE舉例說，本來一個256位的私鑰應該是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題，私鑰的完整性在輸出時被截斷為32位，產生結果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言，破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤，內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機，安全性降低。ISE研究人員在實驗中發現，目前以太坊區塊鏈上共有732個私鑰隨機性不強，存在泄漏風險；當前這些私鑰仍出于活躍狀態，并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰，ISE研究人員向其中一個地址轉入了價值1美元的ETH，結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現，Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰，最高峰時該地址余額達到37,926個ETH的余額，當時價值5400萬美元。直到今天，該組織仍未停手。以太坊本身沒有問題

Chiliz上線以太坊和Chiliz Chain之間的跨鏈橋:5月10日消息，Chiliz 上線以太坊和 Chiliz Chain 之間的跨鏈橋，用戶可通過該跨鏈橋將以太坊上 CHZ 跨鏈至 Chiliz Chain。目前該跨鏈橋僅支持 CHZ。[2023/5/10 14:54:44]

私鑰出現問題，是不是意味著以太坊區塊鏈本身技術存在漏洞？以太坊研究人員胡靖宇向Odaily星球日報表示，目前出現的低安全性私鑰，主要是錢包的問題，和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說，除了隨機數，簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值，目前BTC和ETH都用RFC6979產生這個值，這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節，導致私鑰外泄。”在報告最后，ISE也向開發人員和用戶給出了建議：針對開發人員：使用比較知名的庫或特定平臺的模塊生成隨機數；使用加密安全的偽隨機數生成器；審計源代碼和生成的編譯代碼，以驗證隨機生成的密鑰不會被截斷；使用多個熵源；利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶：不要使用可能獲取私鑰的不可信軟件；私鑰應該是完全隨機的，因此使用可信的軟件和硬件錢包生成私鑰；不要生成基于某種密碼的私鑰，因為更容易被破解。此前，私鑰總被認為是不可攻破的，但從目前的情況來看，堅固的堡壘卻先從內部瓦解。另外，根據IBM研究中心的負責人ArvindKrishna所言，量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據，包括私鑰。

日本著名企業DMM.com將基于Oasys推出自己的Layer2:12月14日消息，日本著名企業 DMM.com 將基于 Oasys 打造自己的Layer2 公鏈，并發布自己的第一個區塊鏈游戲 Kanpani Girls RE:BLOOM。

據悉，Oasys 是由多家游戲巨頭支持，并專為游戲而生的公鏈。[2022/12/14 21:44:55]

以太坊域名服務 ENS 已在 Goerli 測試網部署 NameWrapper:9月20日消息，以太坊域名服務（ENS）開發者 jefflau.eth 表示，現已將新的 ENS 合約套件部署到 Goerli 測試網絡，這是 ENS 協議最終向主網發布新合約套件的重要一步，已部署的新合約有 NameWrapper、新的 .eth 注冊控制器、新的反向注冊登記、新的公共解析器、指數價格曲線 Oracle 以及靜態元數據服務。不過，當前新合約尚未連接到 ENS V2 應用，因此用戶在很大程度上可能無法使用 UI 與這些合約進行交互。

ENS NameWrapper 允許將 ENS 域名包裝為 ERC-1155 NFT，一個父域名能夠為其子域設置更多的權限。[2022/9/21 7:09:30]

NEAR協議成立NDC工作組促進DeFi治理:金色財經報道 ，NEAR 協議正在組建一個工作組來制定自治標準。根據周一的公告，該倡議稱為近數字集體（NDC），旨在通過將生態系統的決策轉移到其原生區塊鏈上來進一步分散生態系統的決策權。

盡管 NDC 將在鏈上進行決策，并且 NEAR 代幣已被留作集體的治理代幣，但該協議的聯合創始人 Illia Polosukhin 在接受采訪時避免將其稱為 DAO。Polosukhin表示，我通常用區塊鏈的術語來思考，所以它更像是人們如何互動和做出決策的協議。然后我們將其中的一部分編入智能合約，其中一部分將編入憲法，一部分將編入圍繞它建立的流程中。[2022/9/12 13:24:49]

Tags：以太坊ISEENSETH如何挖以太坊幣AFRICA RISE TOKENSENSO幣Bitether

KuCoin