賽博朋克的現代密碼學,可不是敲玻璃「有內鬼,終止交易」那么簡單。
兩天前,加密做市商Wintermute遭到黑客攻擊。由于使用Profanity生成以太坊地址的方式有漏洞,造成了私鑰的泄露,1.6億美元不翼而飛。
早在今年1月份,就有人在GitHub上提出了Profanity生成vanity可能所造成的問題。
此后,也有人證明了通過使用1000個強大的圖形處理單元,所有7位字符的vanity均可以在50天內被暴力破解。
在我們上周的分析文章中,我們也提到了今年9月15日,1inch在Medium上發表了一篇披露Profanity漏洞的文章,并詳細介紹了他們是如何利用vanity為用戶生成私鑰的。
Beosin:Ankr Staking遭遇私鑰泄露,目前Wombat池子被掏空:12月2日消息,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,由于Ankr Staking: aBNBc Token項目遭受私鑰泄露攻擊,導致增發了大量的aBNBc,從而影響了pair(0x272c...880)中的WBNB和aBNBc的價格,而Wombat項目的WBNB和aBNBc兌換率約為1:1,導致存在套利空間。目前套利地址(0x20a..76f)共獲利約200萬美元,Beosin Trace將持續對被盜資金進行監控。[2022/12/2 21:17:42]
2022年6月,一位1inch的參與者收到了來自@samczsun的一條奇怪消息,內容涉及其中一個1inch部署錢包以及Synthetix和其他一些錢包的可疑活動。
OKX Web3錢包發言人:即將推出MPC免私鑰登陸:11月26日消息,在Tokendance 2022錢包安全圓桌論壇上。OKX Web3錢包發言人Zakk表示,OKX永遠將用戶訴求放在第一位。當前,第一要義是給用戶降低門檻。但安全與便捷并不矛盾,OKX Web3錢包已儲備了多種安全加固手段,并通過第三方審計結構審計。未來,當錢包真正變成基礎設施,行業需要建立新的錢包鏈接標準,一定會從地址向按“身份”轉移,比如DID系統。同時,為了便于用戶管理,OKX未來將會推出MPC免私鑰登陸。
據悉,OKX Web3錢包是聚合了40+異構多鏈的一站式Web3錢包,內置NFT市場、跨鏈Swap、賺幣。能夠真正滿足用戶的一站式Web3需求。[2022/11/27 20:57:01]
雖然這樣龐大的GPU需要大量資金投入,但許多加密貨幣采礦使用的GPU可達到更高數量,因此1000個GPU并不是完全不可能。
Ronin錢包將發布功能更新,支持導入私鑰和硬件錢包Ledger:4月6日消息,據官方推特,Axie Infinity側鏈Ronin宣布即將發布Ronin錢包更新。此更新將帶來兩個新功能:用戶將可以只導入私鑰到Ronin錢包;用戶可在Ronin Chrome插件錢包中使用 Ledger 硬件錢包。[2022/4/6 14:07:04]
那么私鑰到底是什么?
和私鑰經常“成雙入對”出現的公鑰又是怎樣形成的?
所有邁入Web3.0領域的用戶,首先需要了解的就是公鑰和私鑰的原理和功能,及其所帶來的安全風險。
密碼學
密碼學剛出現的時候,軍事及學術界就有了加密版的處理方式——將信息進行編碼,再用一套密語進行解碼。但該設計也有一個缺陷:加密和解密的短語一旦被他人獲知,就可以隨意解讀和發送信息。
現場 | 王海舟:只有持有私鑰才是真正地掌握資產:金色財經獨家現場報道,比特派副總裁王海舟在由金色財經主辦的第二期沙龍活動“金色沙龍論生態·數字貨幣錢包的開源之路”現場進行了主題演講,他在演講中表示,作為普通用戶使用錢包,如果想要掌控的話,私鑰要在自己的手里,這就是錢包存在的意義和價值。他說,在區塊鏈行業,錢包的概念是完全不一樣的,大家應該把它想象成一個工具,它幫你打造一個鑰匙工具,它幫你打造完這把鑰匙之后,這個鑰匙是由你自己掌管的。他說,很多時候用戶丟幣了會找錢包方負責,但其實并不是這樣,錢包幫你打造完一個私鑰以后,這個私鑰的保管是由你全權負責,這就是去中心化錢包的概念所在,如果把這把鑰匙搞丟了,作為錢包方也沒有辦法找回來,只有自己持有私鑰,才是真正地掌握自己的資產。[2018/11/9]
早期的加密手法被稱為「對稱加密」,因為編碼和解碼短語相同。
直到20世紀70年代,密碼學家們發明了「非對稱加密」——創建了公鑰和私鑰,將加密過程一分為二。
在這個系統中,私鑰是一個多位的、隨機的質數,可作為ID,加密和解密信息。
這個私鑰再通過被稱為「橢圓曲線乘法」的數學函數生成一個公鑰,橢圓曲線乘法函數是實現加密貨幣的主要技術之一,它是一個基于加法階數難求問題的密碼方案。
以上信息說明了一個重點:公鑰可由私鑰衍生,但不能反過來。
私鑰
私鑰就像信用卡密碼——在加密領域,你甚至都不需要知道卡號,就可以訪問卡內資金并且進行交易。這意味著私鑰=資產,其重要性不言而喻。
私鑰可以選擇自己保存或交由其它機構負責??
1.將資產放置在托管錢包及中心化交易所的用戶是將私鑰的保存責任托付給了這些機構。
2.但對于那些非托管錢包來說,用戶就需要自己好好保存私鑰了。注意,這些私鑰往往以種子短語的形式出現,有點像以前的QQ密保。同時我們需要注意遠離黑客的侵襲,網絡釣魚攻擊甚至可以讓你主動“敞開錢包”。所以有一個原則就是:任何情況下,你都不可以把私鑰或者助記詞透露出去。
公鑰和私鑰的關系
公鑰和私鑰是在數學上相互關聯極其大的素數。關聯的意思即為:任何由公鑰加密的東西只能由相關的私鑰解密。公鑰由私鑰衍生,它是一個長的數字序列,可作為將資金發送至某地址的通行證,就像銀行卡號。
這一功能和現實中的地址很相似,比如我知道你家地址,我就能給你寄一封信。同樣的,如果加密世界中,我知道了你的公鑰,我就可以給你發送加密貨幣或者NFT。中本聰在設計區塊鏈交易的運作方式時,曾詳細介紹了公鑰和私鑰如何通過數字簽名實現交易。
在白皮書中,中本聰寫道:“每個所有者通過對先前交易的哈希和下一個所有者的公鑰進行數字簽名并將它們添加到代幣的末尾來將代幣轉移至下一個所有者。”
在這一過程中,中本聰描述了如何使用私鑰對交易進行身份驗證,以及如何將電子硬幣定義為數字簽名鏈。
比特幣白皮書中解釋相關過程的圖表
Web3.0安全
Wintermute攻擊事件告訴我們:如果錢包地址是用Profanity工具生成的,那么錢包內的資產將不再安全,請盡快將所有資金轉移。另外,如果用Profanity獲得了一個vanity的智能合約地址,請確保該智能合約的所有者可改變。
對于其他用戶來說,了解私鑰和公鑰,以及了解它們的交互方式是了解Web3.0的基礎。在護持安全時,CertiK安全團隊在此建議:
1.在任何情況下都不要泄露私鑰
2.慎重選擇自行持有私鑰亦或將其托管給相關機構比如錢包或交易所
永遠不要將鑰匙從一個錢包導入另一個錢包
使用硬件錢包
使用提供高級安全功能的軟件錢包
區塊鏈的透明性讓諸如CertiKSkynet天網動態掃描系統以及SkyTrace這樣的區塊鏈分析工具有了用武之地。
這對Web3.0安全至關重要——在攻擊發生時,可幫助我們了解攻擊發生的事件、被盜資金去向及如何減輕損失。
尤其是SkyTrace可通過公鑰來追蹤和可視化錢包之間的資金流動,這又為項目提供了一條追蹤被盜資金的途徑,并有概率借此引出黑客的信息。
Skynet天網動態掃描系統也是一樣,可以通過主動監控鏈上活動,根據項目的流動性、代幣的分布以及任何異常生成實時洞察。
但透明度對我們追蹤相關信息有幫助,也同樣可以幫助黑客選擇目標。正因如此,一些比如Coinbase這樣的平臺會在用戶每次交易時為他們生成一個新地址,這樣第三方就無法僅僅通過區塊鏈瀏覽器來查看用戶們的交易情況了。這也在一定程度上,保障了Web3.0的隱私性。
區塊鏈瀏覽器TRONSCAN最新數據顯示,截至9月27日,波場TRON賬戶總數達到113,125,864,正式突破1.13億.
1900/1/1 0:00:00巴拿馬城,2022年11月29日——Ankex宣布推出一種新型混合加密貨幣衍生品交易所,該交易所通過去中心化錢包的安全自我托管提供復雜的交易和透明度.
1900/1/1 0:00:00隨著世界杯的臨近,足球傳奇克里斯蒂亞諾·羅納爾多和萊昂內爾·梅西開始接觸NFT市場。2022年卡塔爾世界杯近在眼前,這一屆的世界杯,Web3將賽事和虛擬世界結合在一起.
1900/1/1 0:00:00BitfinexAlpha|債券市場承壓,比特幣保持穩定要了解一個經濟體的狀況,檢查該經濟體債券市場的行為幾乎總是有益的。我們對美國債券市場的分析并不漂亮.
1900/1/1 0:00:00第一部影視NFT項目“TheFutureisNowFilm”因講述過去五年區塊鏈重大事件而聞名.
1900/1/1 0:00:00據官方消息,Binance.US現已正式上線波場TRXStaking服務,APY高達6.1%。 價值170萬美元的ARB從Kraken轉入Binance等交易所:金色財經報道,在近3小時以來,共.
1900/1/1 0:00:00