加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 世界幣 > Info

通過猜測以太坊“弱私鑰”竊取大量以太幣_區塊鏈:BED

Author:

Time:1900/1/1 0:00:00

去年夏天,Bednarek正在思考如何竊取以太幣。他是一名安全顧問;當時,他正在為一個客戶工作,該客戶從事的是盜竊猖獗的加密貨幣行業。Bednarek被以太坊吸引,尤其是因為它臭名昭著的復雜性和那些移動端可能產生的潛在安全漏洞。

但他從最簡單的問題開始:如果以太幣的所有者用私鑰存儲他們的數字貨幣,私鑰是一串不可猜測的78位數字串,用于保護隱藏在某個地址的以太幣,它的值會是1嗎?

令Bednarek驚訝的是,根據記錄以太坊所有交易的賬本,他發現這個非常簡單的私鑰實際上曾經持有以太幣。但是資金已經被轉出了——幾乎可以肯定是一個小偷,他早在Bednarek之前就猜到了一個值為1的私鑰。畢竟,就像比特幣和其他加密貨幣一樣,如果有人知道某個以太坊私鑰,他們可以使用它派生密鑰得到相關公鑰、地址。然后,私鑰允許他們向任何地址轉賬,就像他們是合法的所有者一樣。

報告:2023年一季度通過加密貨幣黑客竊取的金額低于2022年的任何其他季度:金色財經報道,根據 Chainalysis 今年早些時候的一份報告,2022 年是歷史上加密貨幣黑客攻擊最多的一年,估計有 38 億美元被盜,主要來自 DeFi 協議和與朝鮮有關的攻擊者。

然而,這一數字在 2023 年第一季度似乎已大幅減少。根據 TRM Labs 5 月 21 日的一份報告,2023 年第一季度通過加密貨幣黑客竊取的金額低于 2022 年的任何其他季度。值得注意的是,與去年同期相比,黑客的平均規模下降了近 65%。從 2022 年同一季度的近 3000 萬美元增至 1050 萬美元。[2023/5/22 15:18:00]

這個發現激起了Bednarek的好奇心。所以他嘗試了幾個連續的私鑰:2,3,4,然后再多幾十個私鑰,這些私鑰中的余額都被清空了。因此,他和安全咨詢公司IndependentSecurityEvaluators的同事們編寫了一些代碼,啟動了一些云服務器,并嘗試了幾十億。

Gnosis聯創:ENS DAO已通過CoW Swap售出1萬枚ETH:2月9日消息,Gnosis聯創Martin K?ppelmann在社交媒體發文表示,ENS DAO已通過CoW Swap將1萬枚ETH兌換為16,145,549.6枚USC。

此前報道,ENS DAO出售1萬枚ETH以支付未來兩年運營費用提案于2月7日獲得通過。[2023/2/9 11:57:23]

“這里有一個小偷,他聚斂了這些財富,但是當市場崩潰的時候,他又失去了所有財富。”——Bednarek

在這個過程中,正如他們周二發表的一篇論文中所詳述的那樣,研究人員不僅發現加密貨幣用戶在過去幾年中已經使用數百個易于猜測的私鑰來存儲他們的財富,而且還發現了他們所稱的“區塊鏈強盜”“。一個以太賬戶似乎使用同樣的猜私鑰技巧竊取了4.5萬以太幣——價值一度超過5000萬美元。

LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。

獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。

創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。

合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;

審計報告編號:202009222010。[2020/9/24]

“他做著和我們一樣的事情,但他超越了我們,”Bednarek說。“不管這些人是誰,他們都花了大量的計算時間來尋找新的錢包,觀察每筆交易,看看他們是否有私鑰。”

動態 | 金融壹賬通區塊鏈密鑰安全以及密碼算法通過國密局密碼安全測試:近日,金融壹賬通旗下區塊鏈產品Cathaya軟件密碼模塊通過國家密碼管理局上海檢測中心的檢測和認證,成為行業首家在區塊鏈平臺大范圍應用國密算法標準執行密碼運算的企業。該測評從算法正確性、性能、安全性等方面進行測評,Cathaya軟件密碼模塊獲得了包括密碼模塊規格、運行環境、物理安全等9個安全等級一的優異結果。[2020/1/16]

梳理一望無際的海灘

為了解釋“區塊鏈強盜”是如何工作的,需要先了解猜測隨機生成的以太坊私鑰的幾率為1/2256。這個分母非常大約是宇宙中原子的數量。Bednarek將識別隨機以太坊私鑰的任務與找海灘上的沙粒進行比較,這相當于在“十億個”海灘中找到兩個相同的沙子。

聲音 | 中國平安:區塊鏈技術將進一步通過平安五大生態圈逐步落地:中國平安在互動平臺回復投資者提問表示,平安集團及聯營公司開發的區塊鏈技術業內領先,擁有超大吞吐量及低延遲的特點,支持3D零知識驗證并解決了國密環境下交易降速問題。目前應用案例包括攜手中小銀行互聯網金融聯盟打造的貿易融資網絡、與海關合作的天津口岸區塊鏈驗證試點項目、與香港金管局合作的國際貿易融資網絡以及ALFA職能ABS平臺。未來,區塊鏈技術將進一步通過平安五大生態圈逐步落地,助力金融服務、醫療服務、智慧城市、汽車服務、及地產服務上線區塊鏈、提升業務表現。[2019/11/6]

但是當他觀察以太區塊鏈時,Bednarek發現一些人將以太幣儲存在更簡單、更容易猜測的鑰匙上。他說,這可能是由于編碼錯誤而導致密鑰僅按預期長度的一小部分切斷私鑰,或者讓沒有經驗的用戶選擇自己的私鑰,甚至包含惡意代碼,破壞隨機化過程的以太坊錢包(使錢包的開發人員很容易猜測密鑰)造成的。

Bednarek和他的ISE同事最終掃描了340億個區塊鏈地址來尋找這些弱私鑰。他們稱這個過程為梳理以太坊,就像梳理海灘一樣,在以太坊的巨熵中尋找更多可以被猜測的沙粒。他們最終找到了732個可以被猜測的私鑰,這些私鑰曾一度有余額,但后來被清空了。盡管其中一些轉賬毫無疑問是合法的,但是Bednarek猜測,自以太坊在2015年推出以來,在被竊取資金的弱私鑰錢包總數中,732只是一小部分。

與此同時,在那些一無所有的地址中,Bednarek很感興趣地看到有12個地址似乎被同一個“強盜”清空了。他們的資金被轉移到同一個帳戶,現在擁有45000個以太幣。按今天的匯率計算,價值770萬美元。

梳理以太,轉走以太

Bednarek試圖將1美元的以太幣放入一個以前被“強盜”清空過的弱私鑰地址。在幾秒鐘內,它被轉移到了別的帳戶。然后Bednarek試圖將1美元的以太幣放入一個新的,以前未使用的弱私鑰地址,它也在幾秒鐘內被清空,這次被轉移到一個只持有幾千美元一臺幣的賬戶。但是,Bednarek可以在以太坊區塊鏈的待處理交易中看到,居然還有別的“強盜”也試圖抓住它,但在幾毫秒內被擊敗了。似乎有一個龐大的,預先生成的密鑰列表,并以非人的自動速度掃描它們。

事實上,當研究人員查看“區塊鏈強盜”在以太坊賬本上的記錄時,它在過去三年中已經從數千個地址中竊取了以太幣,但從未向外轉賬過,Bednarek認為這可能是一場自動化的以太幣盜竊事件。在2018年1月以太坊匯率達到頂峰時,該“強盜”的賬戶持有38,000以太幣,當時價值超過5400萬美元。從那時起,以太坊的價值一落千丈,將“區塊鏈強盜”的財富蒸發了約85%。

“你不為他感到難過嗎?”Bednarek笑著問。“這里有個小偷,他積累了這些財富,然后在市場崩盤時把它們幾乎賠光了。”

盡管追蹤這些轉賬,但Bednarek并不知道“區塊鏈強盜”可能是誰。“如果是像朝鮮這樣的國家行為體,我不會感到驚訝,但那只是猜測”,他指的是朝鮮政府近年來針對加密貨幣交易所和其他受害者發動攻擊,近年來竊取了價值超過5億美元的加密貨幣。

弱私鑰

Bednarek也無法找到產生弱私鑰的原因或惡意錢包。相反,他只能看到弱私鑰的使用和由此導致的盜竊的證據。他說:“我們可以看到人們被搶劫,但我們不能說哪個錢包軟件有責任,”。特別是“區塊鏈強盜”,目前尚不清楚簡單的弱私鑰盜竊是否占其被盜財富的大部分。“強盜”本可以使用其他的技巧,例如猜測“腦錢包”的助記詞-用可記憶的單詞代表私鑰,這些單詞比完全隨機的私鑰更容易暴力破解。一個安全研究小組在2017年找到了證據,有人通過這種方式竊取了2,846個比特幣,按當前匯率價值超過1700萬美元。在2015年底,一宗以太坊腦錢包盜竊案就帶走了4萬個以太,幾乎和“區塊鏈強盜”一樣多。

ISE尚未設法在原有的比特幣區塊鏈上重復實驗。但是Bednarek確實對大約100個比特幣弱鑰匙進行了一些抽查,發現相應錢包資金也全部被盜了,盡管沒有像“以太坊強盜”這樣明顯的大魚,可能是以比特幣為目標的盜賊更激烈、更分散的競爭的證據。

Bednarek認為ISEether的經驗教訓是,對于錢包開發人員來說,要仔細審計他們的代碼,以發現任何可能截斷密鑰并使其容易受到攻擊的bug。用戶應該注意他們選擇的錢包。“你不能打電話給服務臺,讓他們撤銷交易。當它消失時,它就永遠消失了。“人們應該使用可信錢包,并從可信來源下載。”拋開匯率的波動不談,區塊鏈大盜都已經足夠富有了。

Tags:區塊鏈BEDARENAR區塊鏈專業畢業后到底做什么BEDOGEQuiz ArenaRagnarok

世界幣
BihuEx Star第二期于2019年4月29日通過上線LESS_LESS:STA

尊敬的BihuEx用戶:幣虎全球將于新加坡時間4月29日20:00:00開啟BihuExStar第二期項目,本次上線項目BlockLessChain.

1900/1/1 0:00:00
研報 | 交易平臺的流動性與做市定價標準_ETH:BTC

導讀 流動性是指資產被買入或賣出并輕松,快速,無成本/低成本地轉換為現金或其他資產/通證的能力.

1900/1/1 0:00:00
全國首票“區塊鏈”報關單申報 科技助推通關便利化_區塊鏈:區塊鏈

隨著天津口岸區塊鏈驗證試點項目正式上線,羅姆半導體有限公司成功申報了首個“區塊鏈”報關單,企業由于獲得了更高級別的認證,通關效率也將得到進一步提升.

1900/1/1 0:00:00
關于 LBank 下架 PCH 各交易對的通知公告_區塊鏈:LBank

尊敬的LBank用戶 ??由于POPCHAIN基金會要求,LBank決定于2019年5月5日16:00下線其交易對PCH/ETH,PCH/BTC,PCH/USDT.

1900/1/1 0:00:00
CIF 上線預告_BIT:FIC

親愛的Bit-Z用戶: Bit-Z將于近期上線CIF,敬請期待。具體上線時間請留意后續官方公告.

1900/1/1 0:00:00
獨家丨千萬保證金?Bibox和SKR鬧劇,撕開IEO最后遮羞布_BIB:bib幣交易所

-31QU的第291期推送-今天早上8點,Bibox突然發布公告稱,BiboxOrbit暫停上線Staking(SKR)項目,原因是“市場額度外溢現象并未得到有效控制”.

1900/1/1 0:00:00
ads