賽博朋克的現代密碼學,可不是敲玻璃「有內鬼,終止交易」那么簡單。
兩天前,加密做市商Wintermute遭到黑客攻擊。由于使用Profanity生成以太坊地址的方式有漏洞,造成了私鑰的泄露,1.6億美元不翼而飛。
早在今年1月份,就有人在GitHub上提出了Profanity生成vanity可能所造成的問題。
此后,也有人證明了通過使用1000個強大的圖形處理單元,所有7位字符的vanity均可以在50天內被暴力破解。
在我們上周的分析文章中,我們也提到了今年9月15日,1inch在Medium上發表了一篇披露Profanity漏洞的文章,并詳細介紹了他們是如何利用vanity為用戶生成私鑰的。
PeckShield:“zed-run.info”是網絡釣魚站點,可能會竊取用戶私鑰:5月27日消息,據PeckShield監測顯示, “zed-run.info”是一個網絡釣魚站點,可能會竊取用戶私鑰,提醒用戶不要點擊該站點。[2022/5/27 3:46:00]
2022年6月,一位1inch的參與者收到了來自@samczsun的一條奇怪消息,內容涉及其中一個1inch部署錢包以及Synthetix和其他一些錢包的可疑活動。
雖然這樣龐大的GPU需要大量資金投入,但許多加密貨幣采礦使用的GPU可達到更高數量,因此1000個GPU并不是完全不可能。
那么私鑰到底是什么?
和私鑰經常“成雙入對”出現的公鑰又是怎樣形成的?
所有邁入Web3.0領域的用戶,首先需要了解的就是公鑰和私鑰的原理和功能,及其所帶來的安全風險。
Mixin聯合節點發布聲明:SS團隊丟失私鑰,1萬枚XIN和挖礦收益無法取出:李笑來創建的及時聊天應用程序Mixin網絡的兩個節點Fox.ONE、Exin昨晚發布聲明稱其聯合節點SS私鑰丟失,導致聯合節點中的原始資產10000 XIN和自2020年3月21日以后的所有收益均無法取出。 在本事件中,SS團隊負有全部責任,但Fox.ONE和Exin表示會對各自的用戶負責,具體措施如下:
1. 要求SS團隊先期向用戶賠付1000 XIN,這部分XIN直接按比例分給聯合節點的所有用戶。
2. Fox.ONE和Exin團隊承諾對聯合節點中各自的節點用戶按照持有的節點份額進行賠付,該賠付的最遲期限為2024年3月27日。
3. Fox.ONE和Exin團隊建立新的聯合節點。
4. 現有節點服務暫停。
5. Fox.ONE和Exin團隊會聯合Mixin團隊、Google Cloud等支持團隊,繼續基于現有保留的存證尋找可能的技術解決方案,繼續嘗試恢復聯合節點的10000 XIN;
6. Fox.ONE、Exin團隊作為本次事件的受害方,會積極收集存證,持續推動法律途徑進行維權。[2020/3/28]
密碼學
分析 | 成都鏈安:錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事,成都鏈安在接受金色財經采訪時指出:“safuwallet是第三方extension插件錢包,用戶資產被盜,主要原因還是私鑰被盜,發生了這樣的問題,對于錢包服務器而言只要不存儲用戶的私鑰,只做相關交易數據的處理的話,兩者之間就沒有關系,如果服務器存儲了用戶的私鑰,那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼,黑客可能先將惡意代碼注入到safuwallet中,然后引誘受害者安裝錢包,再獲取到受害者的私鑰后,進行相關代幣的轉移。事實上,對于非官方錢包,安全性確實不太好保障。對于此類錢包,私鑰被盜的時間時有發生。對于這個事件,后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]
密碼學剛出現的時候,軍事及學術界就有了加密版的處理方式——將信息進行編碼,再用一套密語進行解碼。但該設計也有一個缺陷:加密和解密的短語一旦被他人獲知,就可以隨意解讀和發送信息。
聲音 | Ripple:僅2015年8月之前的私鑰易受攻擊:據cointelegraph報道,最近由DFINITY基金會和加州大學聯合進行的研究表明,比特幣(BTC),以太坊(ETH)和Ripple(XRP)的一部分地址是易受攻擊的。對此,Ripple在1月16日發布的一份聲明中宣布,只有在2015年8月之前發布的Ripple(XRP)軟件庫可能提供了會使多個交易易受攻擊的私鑰。[2019/1/17]
早期的加密手法被稱為「對稱加密」,因為編碼和解碼短語相同。
直到20世紀70年代,密碼學家們發明了「非對稱加密」——創建了公鑰和私鑰,將加密過程一分為二。
在這個系統中,私鑰是一個多位的、隨機的質數,可作為ID,加密和解密信息。
這個私鑰再通過被稱為「橢圓曲線乘法」的數學函數生成一個公鑰,橢圓曲線乘法函數是實現加密貨幣的主要技術之一,它是一個基于加法階數難求問題的密碼方案。
以上信息說明了一個重點:公鑰可由私鑰衍生,但不能反過來。
私鑰
私鑰就像信用卡密碼——在加密領域,你甚至都不需要知道卡號,就可以訪問卡內資金并且進行交易。這意味著私鑰=資產,其重要性不言而喻。
私鑰可以選擇自己保存或交由其它機構負責??
1.將資產放置在托管錢包及中心化交易所的用戶是將私鑰的保存責任托付給了這些機構。
2.但對于那些非托管錢包來說,用戶就需要自己好好保存私鑰了。注意,這些私鑰往往以種子短語的形式出現,有點像以前的QQ密保。同時我們需要注意遠離黑客的侵襲,網絡釣魚攻擊甚至可以讓你主動“敞開錢包”。所以有一個原則就是:任何情況下,你都不可以把私鑰或者助記詞透露出去。
公鑰和私鑰的關系
公鑰和私鑰是在數學上相互關聯極其大的素數。關聯的意思即為:任何由公鑰加密的東西只能由相關的私鑰解密。公鑰由私鑰衍生,它是一個長的數字序列,可作為將資金發送至某地址的通行證,就像銀行卡號。
這一功能和現實中的地址很相似,比如我知道你家地址,我就能給你寄一封信。同樣的,如果加密世界中,我知道了你的公鑰,我就可以給你發送加密貨幣或者NFT。中本聰在設計區塊鏈交易的運作方式時,曾詳細介紹了公鑰和私鑰如何通過數字簽名實現交易。
在白皮書中,中本聰寫道:“每個所有者通過對先前交易的哈希和下一個所有者的公鑰進行數字簽名并將它們添加到代幣的末尾來將代幣轉移至下一個所有者。”
在這一過程中,中本聰描述了如何使用私鑰對交易進行身份驗證,以及如何將電子硬幣定義為數字簽名鏈。
比特幣白皮書中解釋相關過程的圖表
Web3.0安全
Wintermute攻擊事件告訴我們:如果錢包地址是用Profanity工具生成的,那么錢包內的資產將不再安全,請盡快將所有資金轉移。另外,如果用Profanity獲得了一個vanity的智能合約地址,請確保該智能合約的所有者可改變。
對于其他用戶來說,了解私鑰和公鑰,以及了解它們的交互方式是了解Web3.0的基礎。在護持安全時,CertiK安全團隊在此建議:
1.在任何情況下都不要泄露私鑰
2.慎重選擇自行持有私鑰亦或將其托管給相關機構比如錢包或交易所
永遠不要將鑰匙從一個錢包導入另一個錢包
使用硬件錢包
使用提供高級安全功能的軟件錢包
區塊鏈的透明性讓諸如CertiKSkynet天網動態掃描系統以及SkyTrace這樣的區塊鏈分析工具有了用武之地。
這對Web3.0安全至關重要——在攻擊發生時,可幫助我們了解攻擊發生的事件、被盜資金去向及如何減輕損失。
尤其是SkyTrace可通過公鑰來追蹤和可視化錢包之間的資金流動,這又為項目提供了一條追蹤被盜資金的途徑,并有概率借此引出黑客的信息。
Skynet天網動態掃描系統也是一樣,可以通過主動監控鏈上活動,根據項目的流動性、代幣的分布以及任何異常生成實時洞察。
但透明度對我們追蹤相關信息有幫助,也同樣可以幫助黑客選擇目標。正因如此,一些比如Coinbase這樣的平臺會在用戶每次交易時為他們生成一個新地址,這樣第三方就無法僅僅通過區塊鏈瀏覽器來查看用戶們的交易情況了。這也在一定程度上,保障了Web3.0的隱私性。
各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00據官方數據,TRC20-USDD持有者已超過13萬。 TRC20-USDT持有賬戶數突破1000萬:據最新消息,TRC20-USDT持有賬戶數為10,028,113,正式突破1000萬.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,過去一周,波場版穩定幣日均轉賬額為7,943,187,920美元,超過79億美元.
1900/1/1 0:00:00從2021年扎克伯格宣布率領Facebook進軍元宇宙并改名Meta至今已經過去一年多的時間,國內外眾多知名許多大公司都積極布局元宇宙相關的業務.
1900/1/1 0:00:00Tether回應圍繞擔保貸款的FUD,并宣布將于2023年將擔保貸款減少到零Tether經歷了加密行業八年的動蕩市場,證明了其韌性.
1900/1/1 0:00:00各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00