?以太坊私鑰不夠隨機，黑客破解私鑰進行盜幣_COI:道德的英文ethical

Odaily星球日報出品作者|秦曉峰編輯|盧曉明

據securityevaluators消息，獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究，該研究主要針對以太坊錢包私鑰的安全性。ISE發現，目前在以太坊區塊鏈上有732個私鑰由于隨機性不高，存在被盜風險。此外，自去年開始，一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動，一度達到37926個ETH。直到今天，該組織仍未停手。私鑰隨機性不高

以太坊公鑰和地址的生成依賴私鑰，有了私鑰就能生成公鑰和地址，就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數，由32個byte組成的數組，1個byte等于8位二進制，一個二進制只有兩個值：0或者1。所以私鑰的總數是將近2^(8*32)=2^256個，破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示，雖有理論上還是存在概率，但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰，也需要大約幾年的時間，實際上我們根本沒有這樣的計算資源。不過，ISE卻在實驗中發現，由于一些生成私鑰的錢包軟件編碼存在錯誤，導致產生的私鑰隨機性不高，容易被計算機暴力破解。ISE舉例說，本來一個256位的私鑰應該是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題，私鑰的完整性在輸出時被截斷為32位，產生結果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言，破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤，內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機，安全性降低。ISE研究人員在實驗中發現，目前以太坊區塊鏈上共有732個私鑰隨機性不強，存在泄漏風險；當前這些私鑰仍出于活躍狀態，并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰，ISE研究人員向其中一個地址轉入了價值1美元的ETH，結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現，Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰，最高峰時該地址余額達到37,926個ETH的余額，當時價值5400萬美元。直到今天，該組織仍未停手。以太坊本身沒有問題

ApeCoin DAO發起新提案AIP-259擬建立一個新的指導委員會:金色財經報道， ApeCoin DAO已發起了一項新提案AIP-259擬建立一個新的指導委員會，以在ApeCoin DAO內部建立明確決策流出，優先考慮并在特定市場開展營銷推廣行動，繼而最大限度發揮ApeCoin DAO的影響力，該指導委員會將負責DAO營銷，并在外部咨詢公司的幫助下或社區成員的幫助下開展研究，如果運行順利則會與2024 年第一季度向ApeCoin DAO提出最終營銷AIP。根據Snapshot信息顯示，該提案將于7月6日結束投票，當前贊成票率高達99.98%。[2023/7/1 22:11:58]

私鑰出現問題，是不是意味著以太坊區塊鏈本身技術存在漏洞？以太坊研究人員胡靖宇向Odaily星球日報表示，目前出現的低安全性私鑰，主要是錢包的問題，和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說，除了隨機數，簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值，目前BTC和ETH都用RFC6979產生這個值，這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節，導致私鑰外泄。”在報告最后，ISE也向開發人員和用戶給出了建議：針對開發人員：使用比較知名的庫或特定平臺的模塊生成隨機數；使用加密安全的偽隨機數生成器；審計源代碼和生成的編譯代碼，以驗證隨機生成的密鑰不會被截斷；使用多個熵源；利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶：不要使用可能獲取私鑰的不可信軟件；私鑰應該是完全隨機的，因此使用可信的軟件和硬件錢包生成私鑰；不要生成基于某種密碼的私鑰，因為更容易被破解。此前，私鑰總被認為是不可攻破的，但從目前的情況來看，堅固的堡壘卻先從內部瓦解。另外，根據IBM研究中心的負責人ArvindKrishna所言，量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據，包括私鑰。

數據：26.94億ARB從DAO財政部轉移到140個地址:金色財經報道，鏈上分析公司 Arkham Intelligence 數據顯示，ARB 代幣持有者與 Arbitrum 基金會沖突中的 7.5 億枚 ARB 代幣中只有 5050 萬個被轉移。1000 萬個代幣已發送到交易所出售，4000 萬個已借給 Wintermute，其余 50 萬個未動用在多重簽名錢包（標記為 Gnosis Safe Proxy）中。此外，監測顯示，另一筆 26.94 億 ARB 代幣從 DAO 財政部轉移到 140 個地址，每個地址的轉賬從 100,000 到 7160 萬 ARB 不等。

加密分析提供商 LookOnChain 發現其中一個地址將他們的代幣轉移到了 Coinbase 交易所，這意味著他們可以出售他們的分配。這些代幣代表分配給團隊、投資者和顧問的金額，據說這些代幣被鎖定了四年。[2023/4/5 13:45:17]

加密借貸平臺CoinRabbit計劃支持Shibarium和BONE:2月23日消息，加密貨幣借貸平臺CoinRabbit計劃支持Shiba Inu第二層解決方案Shibarium。此外，CoinRabbit宣布打算上線Bone ShibaSwap（BONE）代幣。（U.Today）[2023/2/23 12:25:26]

借貸協議Euler Finance社區發布提案提議將stETH添加為抵押品:8月25日消息，借貸協議Euler Finance社區發布提案eIP17，提議將stETH添加為抵押品，抵押因子設置為0.87，借款因子設置為0.91。此前wstETH已成為Euler抵押品，在eIP16引入Chainlink作為預言機后，Euler可以實現對stETH價格數據的直接獲取而無需依靠Uniswap V3。[2022/8/25 12:47:07]

Tags：以太坊COIETHISE以太坊幣美元最新行情走勢圖piggycoin道德的英文ethicalPEPERISE

火必APP