赛博朋克的现代密码学,可不是敲玻璃「有内鬼,终止交易」那么简单。
两天前,加密做市商Wintermute遭到黑客攻击。由于使用Profanity生成以太坊地址的方式有漏洞,造成了私钥的泄露,1.6亿美元不翼而飞。
早在今年1月份,就有人在GitHub上提出了Profanity生成vanity可能所造成的问题。
此后,也有人证明了通过使用1000个强大的图形处理单元,所有7位字符的vanity均可以在50天内被暴力破解。
在我们上周的分析文章中,我们也提到了今年9月15日,1inch在Medium上发表了一篇披露Profanity漏洞的文章,并详细介绍了他们是如何利用vanity为用户生成私钥的。
Beosin:Ankr Staking遭遇私钥泄露,目前Wombat池子被掏空:12月2日消息,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,由于Ankr Staking: aBNBc Token项目遭受私钥泄露攻击,导致增发了大量的aBNBc,从而影响了pair(0x272c...880)中的WBNB和aBNBc的价格,而Wombat项目的WBNB和aBNBc兑换率约为1:1,导致存在套利空间。目前套利地址(0x20a..76f)共获利约200万美元,Beosin Trace将持续对被盗资金进行监控。[2022/12/2 21:17:42]
2022年6月,一位1inch的参与者收到了来自@samczsun的一条奇怪消息,内容涉及其中一个1inch部署钱包以及Synthetix和其他一些钱包的可疑活动。
Celsius Network在Stakehound私钥丢失事件中至少损失3.5万枚ETH:6月7日消息,加密货币借贷平台Celsius Network在以太坊2.0质押解决方案Stakehound私钥丢失事件中至少损失3.5万枚ETH(单笔交易)。Celsius 目前总共持有至少42,306 Stakehound stETH(多次交易),几乎是Stakehound stETH的最大所有者。按照今天的以太币价格,这损失了大约 7100 万美元。迄今为止,该公司选择向客户隐瞒这些信息超过一年。
Stakehound 将损失归咎于他们的托管服务提供商 Fireblocks,并在 Isreali 法庭上起诉了该公司。迄今为止,该问题尚未得到解决。客户一直持有 Stakehound stETH 代币,现在几乎毫无价值。[2022/6/7 4:06:50]
虽然这样庞大的GPU需要大量资金投入,但许多加密货币采矿使用的GPU可达到更高数量,因此1000个GPU并不是完全不可能。
动态 | 新型钱包应用曝光 诱用户私钥窃取资金:近日,降维安全实验室(johnwick.io)关注到一款关于EOS的恶意钱包SimplEOS。该钱包在Google Play商店中一直存在,用户下载后,钱包应用会通过用户泄露他们的私钥来窃取资金。目前,该恶意应用程序已被Google下架。降维安全实验室提示,安装SimplEOS应用的用户请自行检查,一经发现请及时卸载,避免不必要的损失。[2018/11/12]
Web3.0领域的用户,首先需要了解的就是公钥和私钥的原理和功能,及其所带来的安全风险。
密码学
密码学刚出现的时候,军事及学术界就有了加密版的处理方式——将信息进行编码,再用一套密语进行解码。但该设计也有一个缺陷:加密和解密的短语一旦被他人获知,就可以随意解读和发送信息。
金色独家 慢雾安全团队:有至少6种途径导致 EOS 私钥被盗:针对 EOS 私钥被盗事件,金色财经特邀请慢雾安全团队对此事进行解读,慢雾安全团队表示:EOS 投票关键期频发私钥被盗问题,慢雾安全团队综合 Joinsec Red Team 攻防经验及地下黑客威胁情报分析,可能的被盗途径有:
1、使用了不安全的映射工具,映射使用的公私钥是工具开发者(攻击者)控制的,当 EOS 主网上线后,攻击者随即 updateauth 更新公私钥;
2、映射工具在网络传输时没有使用 SSL 加密,攻击者通过中间人的方式替换了映射使用的公私钥;
3、使用了不安全的 EOS 超级节点投票工具,工具开发者(攻击者)窃取了 EOS 私钥;
4、在不安全的 EOS “主网”、钱包上导入了私钥,攻击者窃取了 EOS 私钥;
5、用户存储私钥的媒介不安全,例如邮箱、备忘录等,可能存在弱口令被攻击者登录窃取到私钥;
6、在手机、电脑上复制私钥时,被恶意软件窃取。
同时,慢雾安全团队提醒用户自查资产,可使用公钥(EOS开头的字符串)在 https://eosflare.io/ 查询关联的账号是否无误,余额是否准确。如果发现异常并确认是被盗了,可参考 EOS 佳能社区 Bean 整理的文档进行操作 https://bihu.com/article/654254[2018/6/14]
早期的加密手法被称为「对称加密」,因为编码和解码短语相同。
直到20世纪70年代,密码学家们发明了「非对称加密」——创建了公钥和私钥,将加密过程一分为二。
在这个系统中,私钥是一个多位的、随机的质数,可作为ID,加密和解密信息。
这个私钥再通过被称为「椭圆曲线乘法」的数学函数生成一个公钥,椭圆曲线乘法函数是实现加密货币的主要技术之一,它是一个基于加法阶数难求问题的密码方案。
以上信息说明了一个重点:公钥可由私钥衍生,但不能反过来。
私钥
私钥就像信用卡密码——在加密领域,你甚至都不需要知道卡号,就可以访问卡内资金并且进行交易。这意味着私钥=资产,其重要性不言而喻。
私钥可以选择自己保存或交由其它机构负责??
1.将资产放置在托管钱包及中心化交易所的用户是将私钥的保存责任托付给了这些机构。
2.但对于那些非托管钱包来说,用户就需要自己好好保存私钥了。注意,这些私钥往往以种子短语的形式出现,有点像以前的QQ密保。同时我们需要注意远离黑客的侵袭,网络钓鱼攻击甚至可以让你主动“敞开钱包”。所以有一个原则就是:任何情况下,你都不可以把私钥或者助记词透露出去。
NFT。中本聪在设计区块链交易的运作方式时,曾详细介绍了公钥和私钥如何通过数字签名实现交易。
在白皮书中,中本聪写道:“每个所有者通过对先前交易的哈希和下一个所有者的公钥进行数字签名并将它们添加到代币的末尾来将代币转移至下一个所有者。”
在这一过程中,中本聪描述了如何使用私钥对交易进行身份验证,以及如何将电子硬币定义为数字签名链。
Web3.0安全
Wintermute攻击事件告诉我们:如果钱包地址是用Profanity工具生成的,那么钱包内的资产将不再安全,请尽快将所有资金转移。另外,如果用Profanity获得了一个vanity的智能合约地址,请确保该智能合约的所有者可改变。
对于其他用户来说,了解私钥和公钥,以及了解它们的交互方式是了解Web3.0的基础。在护持安全时,CertiK安全团队在此建议:
1.在任何情况下都不要泄露私钥
2.慎重选择自行持有私钥亦或将其托管给相关机构比如钱包或交易所
永远不要将钥匙从一个钱包导入另一个钱包
使用硬件钱包
使用提供高级安全功能的软件钱包
区块链的透明性让诸如CertiKSkynet天网动态扫描系统以及SkyTrace这样的区块链分析工具有了用武之地。
这对Web3.0安全至关重要——在攻击发生时,可帮助我们了解攻击发生的事件、被盗资金去向及如何减轻损失。
尤其是SkyTrace可通过公钥来追踪和可视化钱包之间的资金流动,这又为项目提供了一条追踪被盗资金的途径,并有概率借此引出黑客的信息。
Skynet天网动态扫描系统也是一样,可以通过主动监控链上活动,根据项目的流动性、代币的分布以及任何异常生成实时洞察。
但透明度对我们追踪相关信息有帮助,也同样可以帮助黑客选择目标。正因如此,一些比如Coinbase这样的平台会在用户每次交易时为他们生成一个新地址,这样第三方就无法仅仅通过区块链浏览器来查看用户们的交易情况了。这也在一定程度上,保障了Web3.0的隐私性。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。