赛博朋克的现代密码学,可不是敲玻璃「有内鬼,终止交易」那么简单。
两天前,加密做市商Wintermute遭到黑客攻击。由于使用Profanity生成以太坊地址的方式有漏洞,造成了私钥的泄露,1.6亿美元不翼而飞。
早在今年1月份,就有人在GitHub上提出了Profanity生成vanity可能所造成的问题。
此后,也有人证明了通过使用1000个强大的图形处理单元,所有7位字符的vanity均可以在50天内被暴力破解。
在我们上周的分析文章中,我们也提到了今年9月15日,1inch在Medium上发表了一篇披露Profanity漏洞的文章,并详细介绍了他们是如何利用vanity为用户生成私钥的。
Raydium:攻击原因系私钥泄漏,损失总额约为439.5万美元:12月17日消息,针对遭遇攻击一事,Raydium发推更新称,漏洞似乎源于木马攻击和池子所有者帐户的私钥泄露。作为即时解决方案,先前的所有者权限已被撤销,所有程序帐户已更新为新的硬钱包帐户,因此攻击者不再具有访问权限,也无法再利用这些池子进行攻击。
Raydium还表示,本次攻击的损失总额约为439.5万美元。[2022/12/17 21:50:35]
2022年6月,一位1inch的参与者收到了来自@samczsun的一条奇怪消息,内容涉及其中一个1inch部署钱包以及Synthetix和其他一些钱包的可疑活动。
虽然这样庞大的GPU需要大量资金投入,但许多加密货币采矿使用的GPU可达到更高数量,因此1000个GPU并不是完全不可能。
那么私钥到底是什么?
安全团队:Slope Wallet (Android, Version: 2.2.2)的sentry服务存在私钥泄露:8月4日消息,慢雾发布对 Solana 攻击事件的分析,据 Solana 基金会提供的数据,被盗用户种约 60% 使用 Phantom、约 30% 使用 Slope,其余使用 Trust Wallet、Coin98 Wallet 等,IOS 和 Android 均未能幸免。
在分析 Slope Wallet (Android, Version: 2.2.2) 时,发现其使用了 sentry 的服务。Sentry 是一项广泛使用的服务,在“o7e.slope[.]finance”上运行。Sentry 的服务从 Slope 钱包中收集助记词和私钥等敏感数据,并在创建钱包时将其发送到 https://o7e.slope[.]finance/api/4/envelope/,并发现 Version:>=2.2.0 包中的 sentry 服务会收集助记词发给“o7e.slope[.]finance”,而 Version:2.1.3 则没有找到收集助记词或私钥的明显行为。Slope Wallet(Android, >= Version: 2.2.0) 于 06/24/2022 之后发布,所以 Slope 该日期之后的用户受到影响。
对于另外 60% 的使用 Phantom Wallet 用户,分析 Phantom(版本:22.07.11_65)钱包后发现,Phantom(Android,版本:22.07.11_65)也使用 sentry 服务收集用户信息,但目前没有发现任何明显的收集助记词或私钥的行为。[2022/8/4 2:58:18]
和私钥经常“成双入对”出现的公钥又是怎样形成的?
DeFi借贷平台Eco DeFi疑因私钥泄露损失约78万美元:据派盾消息,DeFi借贷平台Eco DeFi疑私钥泄露,耗尽借贷池资金,约1418 BNB,以550美元计价,损失约78万美元。[2021/12/29 8:10:29]
所有迈入Web3.0领域的用户,首先需要了解的就是公钥和私钥的原理和功能,及其所带来的安全风险。
密码学
密码学刚出现的时候,军事及学术界就有了加密版的处理方式——将信息进行编码,再用一套密语进行解码。但该设计也有一个缺陷:加密和解密的短语一旦被他人获知,就可以随意解读和发送信息。
早期的加密手法被称为「对称加密」,因为编码和解码短语相同。
直到20世纪70年代,密码学家们发明了「非对称加密」——创建了公钥和私钥,将加密过程一分为二。
安全研究团队:Poly Network遭攻击或因跨链签名私钥泄露导致:针对Poly Network被攻击事件,BlockSec安全团队初步分析认为,导致攻击发生的原因可能为用于跨链签名的私钥被泄漏或者签名程序有逻辑漏洞导致签署出攻击交易。[2021/8/11 1:47:09]
在这个系统中,私钥是一个多位的、随机的质数,可作为ID,加密和解密信息。
这个私钥再通过被称为「椭圆曲线乘法」的数学函数生成一个公钥,椭圆曲线乘法函数是实现加密货币的主要技术之一,它是一个基于加法阶数难求问题的密码方案。
以上信息说明了一个重点:公钥可由私钥衍生,但不能反过来。
私钥
私钥就像信用卡密码——在加密领域,你甚至都不需要知道卡号,就可以访问卡内资金并且进行交易。这意味着私钥=资产,其重要性不言而喻。
私钥可以选择自己保存或交由其它机构负责??
1.将资产放置在托管钱包及中心化交易所的用户是将私钥的保存责任托付给了这些机构。
2.但对于那些非托管钱包来说,用户就需要自己好好保存私钥了。注意,这些私钥往往以种子短语的形式出现,有点像以前的QQ密保。同时我们需要注意远离黑客的侵袭,网络钓鱼攻击甚至可以让你主动“敞开钱包”。所以有一个原则就是:任何情况下,你都不可以把私钥或者助记词透露出去。
公钥和私钥的关系
公钥和私钥是在数学上相互关联极其大的素数。关联的意思即为:任何由公钥加密的东西只能由相关的私钥解密。公钥由私钥衍生,它是一个长的数字序列,可作为将资金发送至某地址的通行证,就像银行卡号。
这一功能和现实中的地址很相似,比如我知道你家地址,我就能给你寄一封信。同样的,如果加密世界中,我知道了你的公钥,我就可以给你发送加密货币或者NFT。中本聪在设计区块链交易的运作方式时,曾详细介绍了公钥和私钥如何通过数字签名实现交易。
在白皮书中,中本聪写道:“每个所有者通过对先前交易的哈希和下一个所有者的公钥进行数字签名并将它们添加到代币的末尾来将代币转移至下一个所有者。”
在这一过程中,中本聪描述了如何使用私钥对交易进行身份验证,以及如何将电子硬币定义为数字签名链。
比特币白皮书中解释相关过程的图表
Web3.0安全
Wintermute攻击事件告诉我们:如果钱包地址是用Profanity工具生成的,那么钱包内的资产将不再安全,请尽快将所有资金转移。另外,如果用Profanity获得了一个vanity的智能合约地址,请确保该智能合约的所有者可改变。
对于其他用户来说,了解私钥和公钥,以及了解它们的交互方式是了解Web3.0的基础。在护持安全时,CertiK安全团队在此建议:
1.在任何情况下都不要泄露私钥
2.慎重选择自行持有私钥亦或将其托管给相关机构比如钱包或交易所
永远不要将钥匙从一个钱包导入另一个钱包
使用硬件钱包
使用提供高级安全功能的软件钱包
区块链的透明性让诸如CertiKSkynet天网动态扫描系统以及SkyTrace这样的区块链分析工具有了用武之地。
这对Web3.0安全至关重要——在攻击发生时,可帮助我们了解攻击发生的事件、被盗资金去向及如何减轻损失。
尤其是SkyTrace可通过公钥来追踪和可视化钱包之间的资金流动,这又为项目提供了一条追踪被盗资金的途径,并有概率借此引出黑客的信息。
Skynet天网动态扫描系统也是一样,可以通过主动监控链上活动,根据项目的流动性、代币的分布以及任何异常生成实时洞察。
但透明度对我们追踪相关信息有帮助,也同样可以帮助黑客选择目标。正因如此,一些比如Coinbase这样的平台会在用户每次交易时为他们生成一个新地址,这样第三方就无法仅仅通过区块链浏览器来查看用户们的交易情况了。这也在一定程度上,保障了Web3.0的隐私性。
一、行业动态总结 上周加密市场跟随每股迎来强势反弹,截至撰稿比特币收于21640.9,周内上涨9.34%,并且在本周的第一个交易日延续了当前的上涨势头.
以太坊合并正式完成!据Tokenview浏览器显示,以太坊PoW最后一个区块于14:42:42由F2Pool鱼池挖出.
Tether对萨尔瓦多和卢加诺市共同签署经济合作谅解备忘录表示高度赞扬萨尔瓦多大使MilenaMayorga今天宣布,萨尔瓦多和瑞士卢加诺市签署了经济合作谅解备忘录.
一、上周行业动态 首先祝大家国庆节快乐! 本周加密市场延续了与美股的独立走势行情,在美股重创的同时,加密市场在本周守住了支撑,加密市场当前的主要玩家可能正逐渐与美股主要玩家区分开来.
Odaily星球日报译者|Moni 世界标准时间1月9日晚11:59,Flare宣布完成代币空投,总计42.79亿枚Flare(FLR)代币被分发给了数百万接收者.
分析链上数据首先要学会使用浏览器,早在今年8月欧科云链OKLink已经出过一篇OKLink多链浏览器的N个隐藏功能-1的文章.