主页 > imtoken转币到交易所 > 你认为比特币“纸钱包”安全吗?CYBAVO:“此密钥”中的私钥被盗失败
你认为比特币“纸钱包”安全吗?CYBAVO:“此密钥”中的私钥被盗失败
在加密货币的世界里,一个钱包对应的“私钥”就相当于钱包里存放的资产,是唯一可以使用钱包里资金的代币。如果私钥生成或管理不善,将导致极大的安全性。漏洞,几乎所有的加密货币盗窃都与不当的私钥生成或管理有关。
除了用于交易之外,比特币钱包通常还负责生成私钥。一些安全意识较高的用户会使用“离线生成私钥”的方式,只有在使用比特币时才会将私钥导入钱包。贸易。在离线生成私钥的方式中,“纸钱包”受到很多人的推崇。用户只需要准备一台干净安全的电脑,连接“纸钱包生成网站”,断开网络,直接使用网站即可。您可以通过生成私钥的功能获得一组新的私钥和对应的钱包地址。
原理是私钥的生成不需要联网。私钥本身是一串随机数。生成过程只需要一个“足够随机”且符合标准的随机种子。“纸钱包生成网站”通常会提供一个可以离线工作的 JavaScript 程序。当用户电脑断开网络并点击生成私钥时,程序会使用一些混乱的因素(如鼠标轨迹、键盘输入和系统时间等信息)作为参数的一部分,并获取一个标准从系统随机数池中随机数生成私钥。但是这样生成的私钥真的安全吗?
通过下面的分析,用户会发现即使电脑干净安全,生成私钥的过程也没有联网,打印纸钱包的打印机服务也没有驱动拦截比特币钱包私钥有几位数,甚至在这样一个完全安全的情况下,通过“纸钱包生成网站”生成的私钥可能还是很危险的!
Cypherpunks Taiwan 创始人陈博伟与信息安全公司 CYBAVO 合作,发现有人使用特定网站的纸钱包窃取私钥。经CYBAVO进一步跟踪发现,大部分“纸钱包生成网站”都用于二次开发,其JavaScript源码与BitAddress.org相同。其中许多网站都是知名的“纸钱包生成网站”,例如 WalletGenerator.net 和 BitcoinPaperWallet.com,已被证实存在后门。
正如 The Blocker 之前报道的那样,由加密货币纸钱包生成器 WalletGenerator.net 运行的代码被证明是“易受攻击的”,这使得批处理生成器可以重复向多个用户发送同一组钱包私钥和公钥。最重要的是,每个人获得的密钥都应该是唯一的并且是随机生成的。
不得不提的是,为了保证纸质钱包的安全,密钥必须是随机生成的。但是,大多数“纸钱包生成网站”都会修改代码,有些方法比较粗糙。如果用户在生成私钥时没有断开网络,则会上传用户随机生成的私钥信息;有的为了避免用户在生成私钥时断网,或者上传私钥时引起警觉,只会修改随机数范围,这样私钥只会在一定时间内重复range 已生成,即无论用户执行多少次私钥的生成,私钥只会在数百组中重复生成。
对此,提供源代码的BitAddress.org作者只能在用户回复中声明这些事件不相关,但无法有效压制。尽管部分网站被列为可疑页面,但仍有不少“纸钱包生成网站”在更改网站外观和地址后重新上线,例如 AmazonPowers.com(百度搜索前三名)。用户需要特别注意避免在这些恶意的“纸钱包生成网站”上生成私钥。
CYBAVO经过实际测试成功生成了重复的私钥,并且该私钥的相对地址也有比特币交易记录。相关地址列表如下。如果读者的钱包是通过“纸钱包生成网站”生成的,并且生成的地址在列表中,请立即转账并丢弃钱包。目前有不少地址有交易记录,一旦资金进入这些钱包,就会立即转出。显然,黑客利用这个漏洞随时监控这些地址,并在资金进入时立即转移。
CYBAVO 呼吁,如果读者是这些纸钱包的受害者,他们必须尽快联系团队,CYBAVO 将尽力协助受害者找回被盗的比特币。以下是详细地址列表:
CYBAVO战略合作伙伴UnblockAnalysis已成功追踪相关现金流,部分资金已进入交易所。大部分被盗地址的比特币会被发送到固定地址进行积累,当数量超过一定数量时,会通过混币快速转移和出售。下图是Unblock Analysis针对其中一个地址分析的金流信息图:
目标地址:1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(A) 1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(B) 1BSZ6QW3kr2Cz8noutJo1hoa8sNybT4n25
(C) 34wvFXLBe55BKV1YiKNQz1m2Fk2maJ4TZo
(D) bc1qkr8gy0edcwwp2d3zdhtcf3gam42s9uvm4yx6sj
上面的(A)是锁定地址,(B)、(C)和(D)是流向地址。2019年12月6日,资金从(A)转到(B),(B)转到(C))比特币钱包私钥有几位数,再从(C)转到(D),90分钟内完成资金划转。这样的资金流向触发了疑似“白手套(中介)”的交易行为,更加确定了黑客掌握了锁定地址的私钥。一旦资金进入钱包,资金就会转出。
最后,如果读者个人或公司的钱包系统使用上述代码生成私钥,请立即查看随机数生成过程,务必遵守以下三个原则:
据介绍,CYBAVO作为一家网络安全公司,致力于为企业提供安全易用的区块链私钥托管和免密码认证服务,旨在为企业提供类似于企业银行账户的规范加密货币管理。一种利用最完善的加密技术和最严格的网络安全标准为数字资产或供应链应用的区块链私钥提供最佳保护的机制。
