站长之家首页 > 区块链 > 以太坊钱包最新资讯 > 正文

居然还有这种操作?黑客猜出别人的以太坊钱包私钥获利3.5亿

2019-05-08 09:11 · 稿源:白话区块链公众号

以太坊爱心

图片版权所属:站长之家

北京时间 5 月 3 日凌晨,TronBank合约中的 2673 万TRX(价值 427 万元)被人盗走,在业内引起一片哗然。区块链是离钱最近的行业,安全问题尤其值得重视。除了司空见惯的EOS智能合约漏洞问题、交易平台遭黑客攻击,最近WIRED还报道了一件奇闻:有人靠猜测以太坊私钥,盗走了 5000 万美元的ETH。

编译 | Guoxi

出品|区块链大本营(blockchain_camp)

在以太坊上,猜测私钥就像猜测彩票中奖号码一样,从统计学上来说并不现实。但就有一些用户耍小聪明,将自己的以太坊私钥设置成容易记忆的字符,方便了自己的同时,也给区块链大盗留下了可乘之机。

最近《连线(Wired)》杂志曝出了一个区块链大盗的事迹,他仅靠猜测以太坊私钥盗就走了 5000 万美元的ETH,然而币价暴跌,他的不义之财缩水了85%。

那么,他是怎么偷窃ETH的呢?靠猜测就能破解别人的私钥,这是什么神操作?他又是怎么被揪出来的呢?今天,让我们一起走进这名区块链大盗的悲喜人生。

 01 

通过猜测私钥,累计盗走4. 5 万ETH

Adrian Bednarek是一名安全顾问,他的客户饱受加密货币失窃的困扰,于是Bednarek开始站在对手的角度上思考问题。

从去年夏天开始,如何窃取ETH这个问题一直困扰着Bednarek。当然了,他并不是真的想要成为一个“区块链大盗”。

不过有这么多种加密货币,为什么Bednarek要选择以太币呢?这是因为以太坊出了名的复杂性,同时以太坊各个复杂的组件都可能会带来潜在的安全漏洞,这使得以太币很容易被攻击。

不过,这里的容易被攻击是相对而言的,以太坊也并不是不堪一击。所以,Bednarek选择最简单的攻击方式:私钥。

我们都知道,以太坊的私钥是其账户所有权的证明,它可以用来管理以太币。按照以太坊的规定,私钥应该是一串很难被猜出的长达 256 位的数。

不过,以太坊用户为了方便记忆也可以任意设置私钥,就比如说设置为1,但这种简单的私钥很容易被猜出来,因而安全性很差,往往不被人们所采用,人们通常都会使用钱包软件生成有随机性的私钥。

然而,出人意料的是,通过检索区块链上存储的以太币交易数据,Bednarek发现还真的有人使用这种极其简单的私钥进行交易。

不过,这个账户中的以太币已经被转走了,几乎可以肯定这笔钱是被区块链大盗偷走的,他赶在Bednarek之前偷走了这笔钱。与比特币等其他加密货币相同,如果有人知道了你的以太坊私钥,他就能从私钥中计算得出你的公钥以及账户地址。

所以,区块链大盗可以使用这个私钥转走你账户中的以太币余额,而区块链上验证交易的矿工不会也不能核实发起交易的是不是账户真正的主人。

这个发现激起了Bednarek的好奇心。所以他连续尝试了几个简单的私钥:2、3、4,然后又试了10、20、 30 这样复杂一点的私钥,不过所有这些私钥对应的账户余额都被清空了。这么看来,靠猜测私钥盗窃以太币并非个案。

为了捕捉更多区块链大盗的信息,Bednarek和他在安全咨询公司Independent Security Evaluators的同事们编写了一些代码,在云服务器上自动化地检查了上百万个简单的私钥。

Bednarek的团队将这次实验的结果写成了一篇论文,并在周二发表了出来。论文中讲到,Bednarek的团队发现在过去的几年中,不断有用户将自己珍贵的加密货币存储在几百个私钥非常容易被猜出来的账户之中。

同时,他们还揪出了一个“区块链大盗”。这个大盗已经使用这种猜测私钥的盗窃方法偷走了近4. 5 万枚以太币,按照当时的币价来算,这笔不义之财价值 5000 万美元。

“这个区块链大盗做了和我们一样的事情,只不过他捷足先登了。”Bednarek说, “我们不知道这个区块链大盗背后是一个人还是一个团伙,但可以肯定的是,他花费了大量的时间和算力来监视每一笔以太币交易,检测每一个以太币钱包,尝试着去偷走以太币。”

 02 

猜对以太坊私钥等于沙里淘金

为了更好地解释区块链大盗是如何偷钱的,首先我们需要说明猜对一个随机生成的以太坊私钥的概率。

以太坊的私钥是一个 256 位的二进制数,因此猜对它的概率是 2 的 256 次方分之一,数值上大约是 10 的 77 次方分之一,也就是说分母是 1 后面 77 个0。

如何来理解这个量级呢?Bednarek做了一个绝妙的比喻,猜对一个随机生成的以太坊私钥的概率无异于在沙滩上找到别人藏好的一粒沙子。

我们常说,不怕神一样的对手,就怕猪一样的队友。虽然以太坊本身的私钥机制足够安全,但这架不住有用户为了省事选择那些易于猜测的、安全性极低的私钥。

Bednarek发现了很多这样的现象,当然了,除了用户自身的责任以外,钱包软件也有责任。有些钱包软件由于编码错误导致其并没有按照给定的长度生成密钥,而有些钱包软件高估了用户群体对区块链的理解程度,以至于让一些没有经验的用户直接选择了自己好记的私钥。

最坏的情况是,钱包软件的开发人员故意破坏了私钥随机生成的过程,以便后期猜出用户的私钥并盗走用户的以太币。

为了找到那些私钥安全性较差的地址,Bednarek的团队最终扫描了 340 亿个以太坊地址。他们将这个过程称为“以太币搜索(ethercombing)”,就像在沙滩上寻找一粒沙子一样,只不过在以太币搜索中,私钥的排列更加无序,要找的目标也更多。

最终他们找到(准确地说是猜出来)了 732 个曾经存有过以太币但最后余额被清空了的账户。虽然其中一些账户余额清空无疑是账户主人所为,但Bednarek指出,自 2015 年以太币正式面世以来,以太坊上发生过很多起因私钥安全性较差导致的以太币失窃事件,他找到的这 732 个账户可能只是冰山一角。

▲ 被侵入的以太坊账户分部

与此同时,在那些被清空的账户中,Bednarek发现了一个很有趣的现象,有 12 个账户是被同一个区块链大盗清空的。

也就是说,这 12 个账户中的以太币余额都被转移给了同一个账户,而这个账户的以太币持有量达到了惊人的4. 5 万个。即使在以太币价格已经跌得惨不忍睹的今天,这些以太币仍价值 770 万美元。

 03 

高手过招,招招致命

区块链大盗已经偷了这么多钱,现在他有没有金盆洗手呢?

带着这个问题, Bednarek又做了一个实验。他给一个曾被区块链大盗清空过的私钥安全性较差的账户中转入了价值 1 美元的以太币。出乎所有人意料的是,仅仅过了几秒钟,这笔钱就被区块链大盗收入囊中。

紧接着,Bednarek给一个未被使用过的私钥安全性较差的账户中转入了价值 1 美元的以太币,短短几秒内这笔钱也被清空了。不过,这次收款人的账户与上次不同,这个账户只持有价值数千美元的以太币。

在以太坊区块链的未决交易(Pending Transactions,就是那些发起了但还没被打包到区块链上的交易)中,Bednarek发现有另一个区块链大盗也在抢这 1 美元的以太币,只不过晚了一步,没有抢到。

这么看来,这些区块链大盗似乎都有一个数量庞大的,预先生成公钥私钥列表,并以非常人所能做到的速度自动化地扫描这些账户。

事实上,研究人员在查看区块链大盗在以太坊区块链上留下的“罪证”时发现,在过去的三年中这个大盗从数千个以太坊账户中盗取了以太币,但他从未有过向外界转移以太币的记录, Bednarek认为这可能是一起自动执行的以太币盗窃事件。

在 2018 年 1 月以太币币价达到顶峰时,区块链大盗的账户持有3. 8 万个以太币,在当时价值超过 5400 万美元。从那时起,以太币价格一落千丈,区块链大盗的财富也缩水了约85%。

“你会为他感到难过么?” Bednarek笑着问道, “这个区块链大盗窃取了大量的财富,但随着市场的萎靡,这些不义之财也在大幅度缩水。”

区块链的匿名性设计对实验造成了一定的干扰。尽管Bednarek对区块链大盗的犯罪事实一清二楚,但他没有任何办法来找出这个人的真实身份。

 04 

私钥的安全性

除了无法揪出区块链大盗的真实身份以外,Bednarek也无法识别是哪些钱包软件由于故障或损坏生成了安全性较差的私钥,他只能看到这些安全性较差的私钥被创造出来并因此导致以太币失窃的证据。

Bednarek说:“我们可以看到用户的以太币失窃,但我们不能明确这是哪个钱包软件的责任”。对于区块链大盗,目前尚不清楚他的不义之财是否都来源于那些私钥安全性较差的账户,因为除此之外,他还可能有其他的盗窃技巧。

比如说,猜测“脑钱包(Brain Wallet)”生成的账户私钥。脑钱包只需用户提供几个单词,它就会自动生成私钥和公钥,乍一看感觉这种方法非常方便,但是这些单词生成的公钥私钥比完全随机生成的更容易被暴力破解。

在 2017 年,一个安全研究人员团队发现一位区块链大盗通过攻击脑钱包总共偷走了 2846 枚比特币,即使在比特币价格大幅度跳水的今天,这些比特币的价值仍超过了 1700 万美元。

无独有偶,在 2015 年年底,一个区块链大盗通过攻击以太坊上的脑钱包偷走了近 4 万个以太币,和上文中那个区块链大盗“不分伯仲”。

Bednarek的团队还没有在比特币区块链上重复这样的实验。不过,Bednarek已经对100 个左右私钥安全性较差的比特币账户进行了一次抽查,他发现相应账户的余额全部被清空了。

但在比特币上并没有出现以太坊上一名区块链大盗独大的现象,可能是因为比特币作为第一大加密货币,所以在比特币区块链上盗贼之间的竞争也更加激烈,因而赃款的分布也就更加去中心化。

Bednarek这次的实验给钱包软件开发人员上了生动的一课。开发人员应该仔细审核钱包软件的代码,以找出可能会导致生成的私钥安全性较差以及有其他风险的漏洞。

同时,对于用户来说,应该谨慎选择钱包软件。 “因为在你的加密货币被盗后,你不能打电话给服务台,要求他们撤销交易。它们被盗走后,就再也找不回来了。”Bednarek说, “所以说,人们应该选用值得信赖的钱包软件,并从官网等可靠的来源处下载它们。”

总而言之,不要让你心爱的加密货币成为交给区块链大盗的学费。

  • 大家在看
  • 相关推荐
  • Mellanox 推出 Spectrum-3以太网交换机 首款为云、存储和AI应用优化的12.8Tbps网络平台

    为云、存储和AI应用量身优化,面向新一代高效数据中心提供卓越的可扩展性、敏捷性和灵活性,支持 100/200/400Gb/s中国, 北京 – 2020 年 3 月 12 日 – Mellanox? Technologies, Ltd.(纳斯达克股票代码:MLNX)是面向数据中心服务器和存储系统的高性能、端到端互连解决方案的领先供应商,该公司今天宣布,SN4000 系列以太网交换机已正式量产。12.8 Tbps的 Spectrum- 3 以太网交换机 ASIC交换机性能出色、高度可扩展且使用灵活,专

  • 小花钱包强化科技助力,布局消费金融

    近年来,随着各种互联网大数据的不断深化,互联网金融不断升级,同时消费金融开始占据一定地位,消市场变迁也愈演愈烈,新的消费形式引领催生出了更多像小花钱包这类消费金融领域的公司诞生。通过大数据、AI智能等新兴科技产业的尖端技术,开始在消费金融行业中立于不败之地。 自成立以来,小花钱包始终坚持充分的科技赋能、技术应用的道路,运用大数据与人工智能科技引领金融业务前行,提高金融服务的效率,用金融科技破解金融难?

  • 小花钱包依托科技驱动效率,创新领跑行业发展

    这几年,互联网金融井喷式发展,成为各路资本争相追捧的香饽饽。而无论从影响力和发展前景来看,消费金融都成为了互联网金融中较火爆的领域。根据 36 氪研究院发布最新《消费金融行业研究报告》,报告称预计未来一年消费金融市场将从8. 45 万亿扩展到 12 万亿,或将有超过3. 5 万亿消费金融市场待覆盖。此外,报告也称未来一年虽渗透率将达25.1%,但与美国40%渗透率相比,发展前景广阔。 小花钱包自成立以来,终坚持充分的科技赋?

  • 万亿蓝海市场有待挖掘 ,小花钱包抢先布局

    随着线上流量红利逐渐减少,大数据、人工智能等新技术应用的发展,数据与场景的强强联合,正在促进消费金融市场飞速发展。根据行业报告显示,消费金融市场规模已由 2010 年 1 月的 6798 亿元,攀升至 2018 年 10 月的 84537 亿元,占境内贷款比重由1.7%上升至6.3%。业内专家预测,消费金融公司将迎来万亿蓝海市场。自成立起,小花钱包就定位于针对年轻优质客群的纯线上消费金融,深耕 5 年多,对消费金融客群理解深刻,实战经验丰?

  • 小花钱包科技赋能,重启消费金融市场活力

    2019 年国务院办公厅印发《关于加快发展流通促进商业消费的意见》,提出了 20 条稳定消费预期、提振消费信心的政策措施。 其中,第十九条提出,加大金融支持力度。鼓励金融机构创新消费信贷产品和服务,推动专业化消费金融组织发展。整体来看,自 2015 年“消费金融元年”至今,消费金融的覆盖人群有了大幅度提升,但依然有着较大的市场发展空间,线上线下诸多场景的开拓也在进一步印证消费金融坚实发展的大方向。 作为消费金融领

  • 经历疫情考验 全民钱包大数据风控保障安全运营

    在新冠肺炎的影响下,不少民众的消费场景从线下转至线上,这对金融机构的风控能力提出考验。广州市全民钱包科技有限公司(简称全民钱包)旗下的消费分期平台在疫情期间,充分发挥金融科技优势,实现了快速响应需求并保障了金融安全。分期购物的消费者中不乏浑水摸鱼的人,这要求平台准确判断需求的真实性,以及用户能否偿还贷款。注重基础设施建设的全民钱包迅速进行调整,将迭代更新的金融科技全面应用到消费分期服务中,利用大数据

  • 让分期购物更智能便捷 全民钱包抓住年轻消费者

    从银保监会在 2009 年颁布的《消费金融公司试点管理办法》起,消费金融在中国已经走过了十年有余。如今线上消费金融进入繁荣时代,广大年轻人成为了跨期消费的引领者和最大受益者,消费分期商城全民钱包凭借智能、便捷的服务体验,虏获了年轻人的心。以智能化、健康化打动年轻人消费是拉动经济最为稳定的因素,中国 2019 年最终消费支出对国内生产总值增长的贡献率已高达57.8%,成为经济增长的第一动力,这为消费金融行业的加速前?

  • 万亿消费金融市场角力,小花钱包用金融科技突围

    作为持续推动中国经济增长的“主引擎”,消费正迎来新一轮升级浪潮。消费升级加速的背景下,消费金融也保持着良好的增长势头。消费金融的万亿赛道正涌入越来越多参与者,各大消费金融巨头都在布局竞逐这一前景广阔的市场。与之相伴的,自然还有来自金融监管部门的强监管政策。从 2017 年《关于规范整顿“现金贷”业务的通知》的“ 141 号文”开始,到今年初《关于做好网贷机构分类处置和风险防范工作的意见》的“ 175 号文”,高?

  • 以科技创新为突破口,小花钱包推动消费金融发展

    近年来,消费的持续增长为我国经济发展注入了强劲的动力,也为消费金融提供了良好的发展机遇。与此同时,移动互联网、大数据、人工智能等新兴技术的快速发展及其在金融领域的深入应用,为消费金融的发展提供了源源不断的创新活力。金融科技已然成为消费金融行业提高核心竞争力的关键因素之一。为顺应金融科技时代的新形势,消费金融参与主体纷纷将金融科技运用到营销获客、风险定价、贷后管理等各个环节,积极探索消费金融业务的?

  • 小花钱包:当“AI”遇上消费金融,让服务有温度更普惠

    近几年,伴随着消费对国民经济增长的贡献不断增加,消费金融借势蓬勃发展,中国消费信贷规模从 2011 年到 2018 年,增长了279%。从整个消费金融市场看,居民杠杆率、消费金融渗透率仍处于国际较低水平,海量长尾用户消费金融服务依旧空白。事实上,一方面是金融科技铺路、政策护航,完善基础设施布局的同时搭建更加便捷的消费场景;另一方面是中国年轻一代的消费潜力,将主导未来5- 10 年的中国乃至全球消费格局。有报告预测, 202

  • 度小满钱包:保护个人信息 守支付安全最后一道防线

    疫情特殊时期,在线生活、云办公的“无接触模式”成为人们主要日常生活方式。不少不法分子在人们防疫、复工生活中的特定场景或需求中“钻空子”,新型网络电信诈骗层出不穷,加强支付信息保护迫在眉睫。度小满钱包(原“百度钱包”)提醒广大用户,近期很多新型诈骗时有发生,需要保持警惕加强防范。 案例1:疫情期间,受害人A想捐款支援抗疫。不法分子通过虚假网站,冒充慈善机构、民政部门、医院、爱心人士等发送“献爱心”的虚?

  • 疫情期间如何保护个人支付信息?度小满钱包这些实用技巧送给你

    在防控新冠肺炎疫情的特殊时期,在线生活、云办公的“无接触模式”成为人们主要日常生活方式。新型网络电信诈骗层出不穷,不少不法分子在人们防疫、复工生活中的特定场景或需求中“钻空子”,度小满钱包(原“百度钱包”)提醒广大用户,近期很多新型诈骗时有发生,需要保持警惕加强防范。案例1:疫情期间,受害人A想捐款支援抗疫。不法分子通过虚假网站,冒充慈善机构、民政部门、医院、爱心人士等发送“献爱心”的虚假募捐信息,利?

  • VNIFL制造工,高端手机壳定制吸睛无数

    手机在使用时特别容易磕碰,而手机壳这个概念和产品的出现,严格来说是随着 2007 年第一代苹果手机发布才开始的。手机产品从可以砸核桃的NOKIA变成了全面触摸屏的移动智能手机,再到如今正面玻璃屏幕背板玻璃材质的各种旗舰机,手机越来越好看,价格越来越不菲,摔机也越来越心痛。手机从最开始的防摔功能也逐渐衍生到了美学和独特的需求方向上,单一的实用功能并不能满足年轻时尚人士以及商务人群的需求了。来自品牌VNIFL高端手机

  • “科技创意”推广价格预估,靠谱的自媒体推广平台

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。科技创意坊是当前百家号中的普通号,目前账号百家号权重为2,综合排名位列683304名,科技分类排名位列32464名,领先了38.6%的百家号。 科技创意坊百家号概况 科技创意坊的简介为带给你全球好玩、实用的科技体验,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过10篇的游戏内容,最近?

  • “世纪沉香”自媒体文化领域排名,自媒体新手该怎么入门?

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。世纪沉香坊是当前百家号中的普通号,目前账号百家号权重为2,综合排名位列683586名,文化分类排名位列19358名,领先了38.5%的百家号。 世纪沉香坊百家号概况 世纪沉香坊的简介为说沉香,讲奇楠,论香道,结香缘。,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过126篇的游戏内容,最

  • “教厂原木工”自媒体旅游领域排名,自媒体新手该怎么入门?

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。教厂原木工坊是当前百家号中的普通号,目前账号百家号权重为1,综合排名位列965301名,旅游分类排名位列38777名,领先了13.2%的百家号。 教厂原木工坊百家号概况 教厂原木工坊的简介为多彩贵州,风行天下。,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过0篇的游戏内容,最近该作者

  • “航妈手工”百家号价值权重预估,百家号收益规则是什么?

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。航妈手工坊是当前百家号中的普通号,目前账号百家号权重为2,综合排名位列155887名,母婴育儿分类排名位列3243名,领先了86.0%的百家号。 航妈手工坊百家号概况 航妈手工坊的简介为各种美味食物的制作方法,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过91篇的游戏内容,最近该作者

  • “名人管理音乐”百家号音乐领域收入排名,做自媒体月收入有多少

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。名人坊管理音乐是当前百家号中的普通号,目前账号百家号权重为1,综合排名位列984376名,音乐分类排名位列4090名,领先了11.5%的百家号。 名人坊管理音乐百家号概况 名人坊管理音乐的简介为其实应该让自己牢牢的记住,我不会得到你爱,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过

  • 小花钱包借力金融科技,深耕消费金融

    在新一轮消费升级的背景下,消费正成为引领经济稳定增长的重要引擎,消费金融也成为刺激消费、拉动内需、去库存、去产能、有效支持供给侧改革、助力实体经济发展的重要动力。 近年来,中央相继出台多份政策文件,支持积极发展消费金融,促进对消费和经济的拉动作用,在政策大旗的挥动之下,消费金融市场迎来了快速发展。随着人工智能、云计算、区块链等前沿科技技术兴起,我国更逐渐成为了全球金融科技领域的领跑者之一。 作为消?

  • 好分期app:你的移动互联网借贷钱包

    “花钱如流水、借钱遭白眼”这是当代年轻人的象征。面对“借和不借”的两难选择,大家果断选择了另一种方式——借贷平台。借贷平台的出现极大的方便了人们的生活,它不仅包括信用卡账单分期功能,也包含现金分期功能。尤其是针对年轻人来说,同时也是一款移动互联网借贷钱包。买早餐二维码扫一扫支付成功、买奶茶支付宝扫一扫支付成功、买衣服网上在线支付成功......只需要一部手机,人们的生活90%可以依靠网络来完成。只要涉及到?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议