主页 > imtoken官网app下载 > 你认为纸质比特币钱包安全吗? CYBAVO:私钥被盗的关键是这个
你认为纸质比特币钱包安全吗? CYBAVO:私钥被盗的关键是这个
在加密货币的世界里,钱包对应的私钥就相当于钱包里存放的资产,是唯一可以使用钱包里资金的代币。如果私钥没有生成或管理不当比特币钱包密码和私钥,将会造成巨大的资金损失。安全漏洞比特币钱包密码和私钥,几乎所有的加密货币盗窃都与不当的私钥生成或管理有关。
除了交易,比特币钱包通常还负责生成私钥。一些安全意识较高的用户,只会在使用比特币时才会使用“离线生成私钥”的方式。 ,在将私钥导入钱包进行交易之前。在离线生成私钥的方式中,“纸钱包”受到很多人的推崇。用户只需要准备一台干净安全的电脑,连接纸钱包生成网站,断开网络后直接使用生成的网站即可。通过私钥功能,可以得到一组新的私钥和对应的钱包地址。
原理是无需连接网络即可生成私钥。私钥本身是一串随机数。生成过程只需要一个“足够随机”且符合标准的随机种子。 “纸钱包生成网站”通常会提供一个可以离线工作的 JavaScript 程序。当用户电脑断开网络并点击生成私钥时,程序会使用一些混乱的因素(如鼠标轨迹、键盘输入和系统时间等信息)作为参数的一部分,并获取一个标准从系统随机数池中随机数生成私钥。但是这样生成的私钥真的安全吗?
通过下面的分析,用户会发现即使电脑干净安全,生成私钥的过程并没有联网,用于打印的打印机服务也没有驱动拦截纸钱包,即使是在这样一个完全安全的环境下,通过“纸钱包生成网站”生成的私钥也可能是危险的!
Cypherpunks Taiwan 创始人陈博伟与信息安全公司 CYBAVO 合作,发现有人在使用特定网站的纸钱包,私钥被盗。经CYBAVO进一步追踪发现,“纸钱包生成网站”大多使用与BitAddress.org相同的JavaScript源码进行二次开发。其中许多网站都是著名的“纸钱包生成网站”,例如 WalletGenerator.net 和 BitcoinPaperWallet.com,已被证实存在后门。
正如 The Blocker 之前报道的那样,由加密货币纸钱包生成器 WalletGenerator.net 运行的代码被证明是“易受攻击的”,允许批量生成器重复发送相同的钱包私钥和给定的公钥集多个用户,但实际上每个人都应该得到一个唯一且随机生成的密钥。
不得不提的是,为了保证纸钱包的安全,密钥必须是随机生成的。但是,大多数“纸钱包生成网站”都会修改代码,其中一些是粗略的。密钥未断网时,会上传用户随机生成的私钥信息;为了避免用户在生成私钥时断网,或者上传私钥时引起警觉,只会修改随机数区间,这样私钥只会在一个时间内重复生成一定范围,即无论用户执行多少次私钥生成,私钥只会在数百组中重复生成。密钥不能称为随机生成,更别说“唯一”了。
对此,提供源代码的BitAddress.org作者只能在用户回复中声明这些事件无关紧要,但无法有效压制。尽管部分网站被列为可疑页面,但仍有不少“纸钱包生成网站”在更改网站外观和地址后重新上线,例如 AmazonPowers.com(百度搜索前三名)。用户需要特别注意避免在这些恶意的“纸钱包生成网站”上生成私钥。
CYBAVO经过实际测试成功生成了重复的私钥。同时,私钥的相对地址也有比特币交易记录。相关地址列表如下。 “纸钱包生成网站”生成,生成地址在列表中,请立即转账并丢弃钱包。目前有不少地址有交易记录,一旦资金进入这些钱包,就会立即转出。很明显,黑客利用这个漏洞随时监控这些地址,一有钱就立即转移。
CYBAVO呼吁,如果有读者成为这些纸钱包的受害者,必须尽快联系团队,CYBAVO将尽力协助受害者找回被盗的比特币。以下为详细地址清单:
1KGabGv4xwZCo6ebbFykKFPmdqNkYMmG4F
154SXM9EFqvxbvmuK87MYY6aAa3CNDcjFg
1BVaQaUHk46nXf1z7kBfgGG5pfPigUKU25
1L9xH7xU9YQ6p39pvNCnjM8A2Xjj1m8ZBS
1LswadF991seb6vYqWorGQd2dVvx6P2nAu
172bGAVUD7ZtJHEDLbBGCiG8uhSD9t7aPD
14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn
16WRqQsZQSWp7uD4Jhb1CrPvJq8D6ETuZA
1BQHKBxCeyMt7CJMSTiWXB74etuKhkDRpt
1CtF6gmdByQmxQ7JT43W63yt5taUgF4UVi
12ziu6dsjdZ7poY5LNxC8nDn1x7kKcQexv
1A8JZzxheW8mx1HbQKyJddbrECwPTXTQtk
133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa
1HGJEdzNHq89S96nJvkLdbj4NyPJM9qw3f
1MfPqSDiraPRBVyYASNkF8oc5Ja1ZkdsZn
16fUUF7GSF2GbVJig1KQrD4ksNMnUBX7Dq
1LjCLg4qU1X1Bd8xnaouNQthCAJpwqMZni
1LjiyXuYGYRs2Z8UKwTnLmomfJTsTBqwRh
1KzF87otzAW8FeVrWyiP5NA6dz39e6eaQ1
1EXG94GYR63F3ij8XKXpm2iGac2JFGTksp
14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k
14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn
1NSyCbfGibf1mahXCKaiiGNEvmgsfntdq3
133Bx5yWRgYHBv8Y JVwVaR7TmsUHZmFSJa
13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4
1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
1KYTAnNPoo2YtMVcywHsATR3mgffMwVphj
1GiQvuabtcNYSphXCQYH3dUCX88xnEifdA
1MNk9m9xuUYrvfdJLG8zxqPG7tfKBTn9Wx
1ECiYkHpgGyRJrs1aWW7bS6iyckubutSVZ
18cTBu3JhC7bBWrmEoT548TqLyKBkXnaT6
18JxFDL4oFFDVVHMXQvqJTDM73bQe1c2Vq
1P518UYVz6VbuPKgLPQjRUc2DYcaM6dQCf
1KkHiBAhkk3ZxoNiYZnTFLF4mTc5EnKDBb
1HdreMMZXY21U3ynoJqe4uE4J66q84c6oP
15DUoApHf5yq9kzHUekRzTNxhJWok9ZfG5
15uxEk954TSW3f7pSPSNdvDeEeTCPDHxip
14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k
1DSRUf7PbvckdaB7YHakPUfBuwt22Zboyu
1F5vVpwfdDNNVbPZmQguNJqsdrkWpU7gFE
12TnGq99e18gFwT1svkhNsUVAReEC6ARoJ
16ZBadgmztS92Sas1CFSTfhnyfE1mRwjaz
15bKRPVGSqS5njS9WjZPPFDKbDSY2NTTDf
13TujBeyeVh8E8amvamsDdNszw5FSD19qz
16QumJh6hE3d5W4hX87BbxKs1aBGDbSaKs
13TvhrFK4X7Y84jEyzDMvXKmbjPg4Y6evT
1PAD114RCjcMcfBHzCQEBe7BvzL2J9FpiB
17vDMhe1Y m9XQMyaa6ahW4fvU5ibVCniBi
184WrJZa5A8K2KxiZdpdrBHaj63FdfAAjC
18372nnAvma9VGduvREHzovGdiiptnrrw5
127i4e35gL11pNRsZnr7QeajU8bvY4ZkqR
1E6VqRpH3X9zCLFSJyu2BJmyELRxGNzB1S
1HJmAumP6T9SXuNmaUm8z36KFLPPZ499z2
15L6yf28VH8bxP2Pmwgwuud5pbvYysPsPr
1PJKrag4e41LP691iNDgGKELLRcDdzN2FD
1GRnLqV31mNxUahSTwzmQ13sTzeZ82rEQz
16yx9juHqYtLruTRXDPmfDJENiqaMhWSCW
13TujBeyeVh8E8amvamsDdNszw5FSD19qz
13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4
1Gkat5DVDD8SBShdBytwekyfQqyEp5ES8K
1QAF2Mb5kmj1WhgBx1nQC5C8CiWyTqyak4
CYBAVO战略合作伙伴UnblockAnalysis已成功追踪相关现金流,部分资金已进入交易所。大部分被盗地址的比特币会被发送到固定地址进行积累,当数量超过一定数量时,会通过混币快速转移和出售。下图是Unblock Analysis分析其中一个地址后的金流信息图:
目标地址:1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(A) 1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(B) 1BSZ6QW3kr2Cz8noutJo1hoa8sNybT4n25
(C) 34wvFXLBe55BKV1YiKNQz1m2Fk2maJ4TZo
(D) bc1qkr8gy0edcwwp2d3zdhtcf3gam42s9uvm4yx6sj
以上(A)为锁定地址,(B)、(C)、(D)为流地址。 2019年12月6日,资金从(A)转至(B),(B)转至(C),再从(C)转入(D),90分钟内完成资金划转。这样的资金流向触发了疑似“白手套(中介)”的交易行为,更加确定了黑客掌握了锁定地址的私钥。当资金进入钱包后,资金立即转出。
最后,如果读者个人或公司的钱包系统使用上述代码生成私钥,请立即查看随机数生成过程,一定要遵守以下三个原则:
据报道,作为一家网络安全公司,CYBAVO致力于为企业提供安全易用的区块链私钥托管和免密码认证服务,旨在为企业提供类似于企业银行账户的受监管加密货币采用最完善的加密技术和最严格的网络安全标准的管理机制,为数字资产或供应链应用的区块链私钥提供最好的保护。
郑重声明:本文版权归原作者所有,转载文章仅出于传播更多信息之目的。如果作者信息标注有误,请尽快联系我们修改或删除,谢谢。