真隨機數和偽隨機數的區別—撰文|Cobo金庫大掌柜掌柜最近一直有強調安全芯片的重要性,今天就正兒八經的盤一盤安全芯片到底在保護什么。對數字貨幣原理稍有了解的人,可能都聽說過“非對稱加密”、“哈希算法”之類的加密學名詞,但并不是所有人都知道,這些加密算法背后最重要的核心——隨機數。大家“隨機”選擇一把私鑰,就可以通過私鑰用密碼學計算出地址,有了地址就能收取數字貨幣,私鑰就能支配這個地址上的數字貨幣。所以,誰擁有私鑰,誰就擁有對應地址在鏈上的資產。那么,私鑰會不會有一天耗盡?要解答這個問題,先要看看私鑰到底有多少“把”。理論上來說,私鑰總共有大約2的256次方的可能性。這個數大約是1后面跟了77個零。與之對比,目前可見的宇宙,總共的原子數大概是1后面跟了80個零。私鑰的可能性有這么多,看來是不會被耗盡了。可是,會不會碰巧兩個人選到同一把私鑰?從而A轉到對應地址的錢,被B轉走了?這就引出了私鑰隨機性的重要性,也就是隨機數的重要性。系統都是先得到隨機數,然后從隨機數再推導出私鑰。
安全團隊:Nirvana遭閃電貸攻擊,請相關用戶注意資產安全:7月28日消息,據慢霧區情報,Solana 鏈上穩定幣項目 Nirvana 遭遇閃電貸攻擊,攻擊者通過部署惡意合約,使用閃電貸從 Solend 借出 10,250,000 USDC,隨后調用 Nirvana 合約 buy3 方法購買了大量 ANA 代幣,隨后調用 Nirvana 合約 swap 方法賣出部分 ANA,得到USDT 和 USDC ,在歸還完閃電貸后共獲利3,490,563.69 USDT,21,902.48 USDC 及 393,230.32 ANA代幣,隨后黑客出售 ANA 代幣,并將所有臟款通過跨鏈橋轉移。Nirvana 源代碼未完全開源,據鏈上調用日志分析,攻擊者可能利用了 ANA 價格計算漏洞進行套利,請相關用戶注意資產安全。[2022/7/28 2:43:46]
目前,林林總總的數字貨幣錢包,在隨機數生成這件事上,逃不出兩種方案——偽隨機數生成器和真隨機數生成器。偽隨機數生成器在維基百科上有一個更令人擔憂的名字,確定性隨機數生成器。為什么隨機數還會有“確定性”這一說呢?因為偽隨機數都來自于“隨機種子”,而隨機種子是由計算機自帶的計數器或者其它數字邏輯產生。這些計數器或者數字邏輯是有一定概率分布的。所以,在一定程度上,偽隨機數是可預測的。與之相對的,真隨機數是由安全芯片通過物理方式生成的,其隨機性是不可預測的。來自維基百科的定義:真隨機數生成器是一種通過物理過程而不是計算機程序來生成隨機數的設備。這樣的設備通常是基于一些能生成低等級、統計學隨機的“噪聲”信號的微觀現象,如熱力學噪聲、光電效應和量子現象等。這些物理過程在理論上是完全不可預測的,并且已經得到了實驗的證實。由此,我們得到了安全芯片的核心保護對象:私鑰的真隨機性。安全芯片可以生成真隨機數,隨機性大于非安全芯片生成的偽隨機數。我們前面有反復提到的一個詞組——“物理方式生成”。有些同學可能會問,能用“擲骰子”這種“物理”方法嗎?答案是可以的。基于以上,在選購數字貨幣硬件錢包時,仍有兩個知識點需要普及:除了要關注是否有安全芯片以外,還要關注安全芯片是否得到了相關機構的認證。常見的認證體系有兩套:FIPS和AIS。安全芯片的固件代碼是否開源,也是要考察的點。目前已知的硬件錢包中,只有Cobo金庫和ColdCard開源了安全芯片固件代碼。Coldcard的安全芯片固件代碼甚至支持用戶自行燒錄,適合比較硬核的玩家,但是同時也放大了供應鏈攻擊的可能性。出于供應鏈攻擊等方面的考慮,Cobo金庫暫不支持用戶自行燒錄安全芯片固件。總結,選擇硬件錢包時,建議如下:應用安全芯片且安全芯片得到相關機構的認證且安全芯片固件開源下篇文章會講安全芯片可以抵御哪些物理攻擊,請持續關注呀!參考鏈接:https://en.wikipedia.org/https://en.wikipedia.org/https://en.wikipedia.org/https://github.com/
安全公司CertiK提醒已確認NoaSwap由詐騙集團運營:官方消息,安全公司CertiK表示,已確認NoaSwap由負責SheepSwap的同一詐騙集團運行。CertiK提醒用戶保持警惕。[2021/4/11 20:07:42]
動態 | 慢霧:巨鯨被盜2.6億元資產,或因Blockchain.info安全體系存在缺陷:針對加密巨鯨賬戶(zhoujianfu)被盜價值2.6億元的BTC和BCH,慢霧安全團隊目前得到的推測如下:該大戶私鑰自己可以控制,他在Reddit上發了BTC簽名,已驗證是對的,且猜測是使用了一款很知名的去中心化錢包服務,而且這種去中心化錢包居然還需要SIM卡認證,也就是說有用戶系統,可以開啟基于SIM卡的短信雙因素認證,猜測可能是Blockchain.info,因為它吻合這些特征,且歷史上慢霧安全團隊就收到幾起Blockchain.info用戶被盜幣的威脅情報,Blockchain.info的安全體系做得并不足夠好。目前慢霧正在積極跟進更多細節,包括與該大戶直接聯系以及盡力提供可能需求的幫助。[2020/2/22]
編者按:本文來自區塊律動BlockBeats,Odaily星球日報經授權轉載。在CoinList擁有賬號的朋友,最近收到了這樣一個信息:Kadena將進行二級拍賣.
1900/1/1 0:00:00出品/CoinVoice文/辛夷我們低估了Libra將會給全世界帶來的影響。Facebook的野心是全球使用Libra——而美聯儲更愿意把它當做隱形美元助力其貨幣政策的運行.
1900/1/1 0:00:00編者按:本文首發于微信公眾號鋅鏈接,關注公眾號,和我們一起探索產業區塊鏈價值。如需轉載文章,請微信申請開白名單.
1900/1/1 0:00:00做為2017年6月份入場的中間人,比圈子里的大佬晚了很久,也比這兩年被割的韭菜們資深一些。從2018年1月份算起,幣圈的光景不是很好,或者用很糟糕來形容。“暴力的歡愉終將以暴力結束.
1900/1/1 0:00:00NFT的可組合性與虛擬時空間集這篇文章是NFTY的作者的年度總結吧,雖然他的周報已經沒更新好一段時間了。這篇文章總結了他在加密世界中今年最喜歡的事情.
1900/1/1 0:00:00編者按:本文來自藍狐筆記,Odaily星球日報經授權轉載。2019年是DeFi元年。MakerDAO、Synthetix、Uniswap、Compound以及Kyber等表現都不錯.
1900/1/1 0:00:00