OIN:慢霧：Ed25519 實現原理與可延展性問題_COI

Ed25519 是一個基于橢圓曲線的數字簽名算法，它高效，安全且應用廣泛。TLS 1.3, SSH, Tor, ZCash, WhatsApp 和 Signal 中都使用了它。本文主要講解以下幾點：

1. 介紹一點群論知識，目的是讓大家對 Ed25519 和其可延展性問題的原理有一種直覺。若想深入理解，還需參考其他資料；

2. 針對 rust 庫 ed25519-dalek 的 1.0.1 版本講解 ed25519 的實現；

3. 針對該庫的延展性問題做出解釋。

數學要點回顧

群的定義與性質

群論是抽象代數研究的內容，但抽象代數的一些思想是程序員非常熟悉的。面向對象中的繼承就是一個很好的例子，我們都知道子類繼承了父類后，就能使用父類中定義的方法。可以將抽象代數理解為對一個抽象的數據結構定義了一些性質，由這些性質推導出來的定理對于所有的子類都成立。

慢霧：Distrust發現嚴重漏洞，影響使用Libbitcoin Explorer3.x版本的加密錢包:金色財經報道，據慢霧區消息，Distrust 發現了一個嚴重的漏洞，影響了使用 Libbitcoin Explorer 3.x 版本的加密貨幣錢包。該漏洞允許攻擊者通過破解 Mersenne Twister 偽隨機數生成器（PRNG）來訪問錢包的私鑰，目前已在現實世界中造成了實際影響。

漏洞詳情：該漏洞源于 Libbitcoin Explorer 3.x 版本中的偽隨機數生成器（PRNG）實現。該實現使用了 Mersenne Twister 算法，并且僅使用了 32 位的系統時間作為種子。這種實現方式使得攻擊者可以通過暴力破解方法在幾天內找到用戶的私鑰。

影響范圍：該漏洞影響了所有使用 Libbitcoin Explorer 3.x 版本生成錢包的用戶，以及使用 libbitcoin-system 3.6 開發庫的應用。

已知受影響的加密貨幣包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

風險評估：由于該漏洞的存在，攻擊者可以訪問并控制用戶的錢包，從而竊取其中的資金。截至 2023 年 8 月，已有超過 $900,000 美元的加密貨幣資產被盜。

解決方案：我們強烈建議所有使用 Libbitcoin Explorer 3.x 版本的用戶立即停止使用受影響的錢包，并將資金轉移到安全的錢包中。請務必使用經過驗證的、安全的隨機數生成方法來生成新的錢包。[2023/8/10 16:18:20]

沿用剛剛的比喻，來看看群（group）這個數據結構是如何定義的。

慢霧：pGALA合約黑客已獲利430萬美元:11月4日消息，安全團隊慢霧在推特上表示，pGALA合約黑客已將大部分GALA兌換成13,000枚BNB，獲利超430萬美元，該地址仍有450億枚Gala，但不太可能兌現，因為資金池基本已耗盡。此外，黑客的初始資金來自幾個幣安賬戶。

今日早些時候消息，一個BNB Chain上地址在BNB Chain上地址憑空鑄造了超10億美元的pGALA代幣，并通過在PancakeSwap上售出獲利。pNetwork表示此為跨鏈橋配置錯誤所致，GALA跨鏈橋已暫停，請用戶不要在BNB Chain上DEX中交易pGALA。[2022/11/4 12:16:04]

由此可以推出許多有意思的定理：

慢霧：Ribbon Finance遭遇DNS攻擊，某用戶損失16.5 WBTC:6月24日消息，Ribbon Finance 發推表示遭遇 DNS 攻擊，慢霧MistTrack通過鏈上分析發現攻擊者與今天早前的Convex Finance 攻擊者是同一個，地址 0xb73261481064f717a63e6f295d917c28385af9aa 是攻擊者共用的用來調用惡意合約的錢包地址。同時分析發現，Ribbon Finance某用戶在攻擊中損失了 16.5 WBTC，具體交易為：https://etherscan.io/tx/0xd09057f1fdb3fa97d0ed7e8ebd8fd31dd9a0b5b61a29a22b46985d6217510850。[2022/6/24 1:29:35]

慢霧：PancakeBunny被黑是一次典型利用閃電貸操作價格的攻擊:幣安智能鏈上DeFi收益聚合器PancakeBunny項目遭遇閃電貸攻擊，慢霧安全團隊解析：這是一次典型的利用閃電貸操作價格的攻擊，其關鍵點在于WBNB-BUNNYLP的價格計算存在缺陷，而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式，最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格，使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。慢霧安全團隊建議，在涉及到此類LP價格計算時可以使用可信的延時喂價預言機進行計算或者參考此前AlphaFinance團隊。[2021/5/20 22:24:55]

舉幾個例子： 

拉格朗日定理

現在介紹一個非常有意思的定理，這個定理的推導在文末引用的視頻中。

“群的階能被子群的階整除。”

為什么說這個定理有意思呢，不僅僅因為它的證明過程串起了剛剛介紹的許多知識，還因為下面的結論：

Ed25519 的實現

現在我們來講 Ed25519，它是 EdDSA 算法的其中一種。EdDSA 有 11 個參數（https://datatracker.ietf.org/doc/html/rfc8032#autoid-3），這些參數的具體選擇對于算法的安全和性能有很大的影響。Ed25519 的具體選擇請參看鏈接（https://datatracker.ietf.org/doc/html/rfc8032#autoid-9）。

另外，值得一提的是這套算法用到了一個叫 Curve25519（https://datatracker.ietf.org/doc/html/rfc7748#autoid-5）的橢圓曲線。對于橢圓曲線，我們只需知道，它上邊有很多很多點，這些點相加能得到新的點，新的點還是在曲線上。這些點和這個加法能形成一個群。注意這里的橢圓曲線加法（https://www.wikiwand.com/en/Elliptic_curve_point_multiplication）是有特殊定義的。

我們約定如下記法：

這是個交互式的算法，但是沒關系，有一個技巧叫做 the Fiat – Shamir heuristic（https://link.springer.com/chapter/10.1007%2F3-540-47721-7_12），它可以把任意的交互式算法轉化成非交互式的算法。最終我們會用非交互式算法。

數字簽名算法都會給我們如下 API：

代碼地址（https://github.com/dalek-cryptography/ed25519-dalek/blob/97c22f2d07b3c260726b90c55cd45f34ec34a037/src/public.rs#L322-L355）

密碼學算法的實現和使用都有非常多要注意的地方。當我們說一個數字簽名算法是安全的，一般指的是即使在攻擊者能夠獲得任意消息的簽名（Chosen Message Attack）的情況下，攻擊者仍然不能偽造簽名。Ed25519 滿足這個性質，但不代表 Ed25519 是絕對安全的。在原始的論文中也提到，可延展性問題是可以接受的，且原始的算法就有這個問題。

慢霧科技

個人專欄

閱讀更多

區塊律動BlockBeats

Foresight News

曼昆區塊鏈法律

GWEI Research

吳說區塊鏈

西柚yoga

ETH中文

金色早8點

金色財經 子木

ABCDE

0xAyA

Tags：OINCOICOINBUNNYcoinw幣贏官方app蘋果版tzbcoinSkeb CoinCRAZYBUNNY幣

狗狗幣價格