?以太坊私鑰不夠隨機，黑客破解私鑰進行盜幣_以太坊

Odaily星球日報出品作者|秦曉峰編輯|盧曉明

據securityevaluators消息，獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究，該研究主要針對以太坊錢包私鑰的安全性。ISE發現，目前在以太坊區塊鏈上有732個私鑰由于隨機性不高，存在被盜風險。此外，自去年開始，一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動，一度達到37926個ETH。直到今天，該組織仍未停手。私鑰隨機性不高

以太坊公鑰和地址的生成依賴私鑰，有了私鑰就能生成公鑰和地址，就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數，由32個byte組成的數組，1個byte等于8位二進制，一個二進制只有兩個值：0或者1。所以私鑰的總數是將近2^(8*32)=2^256個，破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示，雖有理論上還是存在概率，但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰，也需要大約幾年的時間，實際上我們根本沒有這樣的計算資源。不過，ISE卻在實驗中發現，由于一些生成私鑰的錢包軟件編碼存在錯誤，導致產生的私鑰隨機性不高，容易被計算機暴力破解。ISE舉例說，本來一個256位的私鑰應該是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題，私鑰的完整性在輸出時被截斷為32位，產生結果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言，破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤，內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機，安全性降低。ISE研究人員在實驗中發現，目前以太坊區塊鏈上共有732個私鑰隨機性不強，存在泄漏風險；當前這些私鑰仍出于活躍狀態，并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰，ISE研究人員向其中一個地址轉入了價值1美元的ETH，結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現，Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰，最高峰時該地址余額達到37,926個ETH的余額，當時價值5400萬美元。直到今天，該組織仍未停手。以太坊本身沒有問題

VGX突破0.65美元，24小時漲幅36.59%:金色財經報道，據行情數據顯示，Voyager Token VGX 突破 0.65 美元，現報價 0.657 美元，24 小時漲幅 36.59%。[2023/2/16 12:10:18]

私鑰出現問題，是不是意味著以太坊區塊鏈本身技術存在漏洞？以太坊研究人員胡靖宇向Odaily星球日報表示，目前出現的低安全性私鑰，主要是錢包的問題，和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說，除了隨機數，簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值，目前BTC和ETH都用RFC6979產生這個值，這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節，導致私鑰外泄。”在報告最后，ISE也向開發人員和用戶給出了建議：針對開發人員：使用比較知名的庫或特定平臺的模塊生成隨機數；使用加密安全的偽隨機數生成器；審計源代碼和生成的編譯代碼，以驗證隨機生成的密鑰不會被截斷；使用多個熵源；利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶：不要使用可能獲取私鑰的不可信軟件；私鑰應該是完全隨機的，因此使用可信的軟件和硬件錢包生成私鑰；不要生成基于某種密碼的私鑰，因為更容易被破解。此前，私鑰總被認為是不可攻破的，但從目前的情況來看，堅固的堡壘卻先從內部瓦解。另外，根據IBM研究中心的負責人ArvindKrishna所言，量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據，包括私鑰。

Meme項目FLOKI：已銷毀5.1萬億枚FLOKI并禁用主要跨鏈橋:金色財經報道，Meme項目FLOKI發推稱，團隊已經銷毀了5.1萬億枚FLOKI代幣，并禁用了主要的FLOKI跨鏈橋，這是根據Floki DAO的決定實行的舉措。[2023/2/10 11:59:37]

Interlay宣布推出比特幣超級應用計劃:11月5日消息，基于波卡生態的跨鏈互操作性網絡 Interlay在里斯本Web3峰會上宣布推出比特幣超級應用計劃（DeFi Superapp），即將構建一套去中心化金融應用，使用戶能夠以去中心化和無需信任的方式進行借貸、交易、并賺取比特幣收益而不需要依賴中心化的供應商。

Interlay于今年8月份推出了首個完全無需信任的 BTC 穩定幣橋 interBTC，通過 interBTC 可在其他區塊鏈上使用比特幣進行DeFi、跨鏈轉移、NFT等的安全交易。[2022/11/5 12:20:27]

公鏈Sui即將引入SUI代幣的最小單位MIST:10月21日消息，公鏈Sui宣布即將引入MIST，MIST是SUI代幣的最小單位，1 MIST = 10^-9 SUI，也就是說1 SUI等于10億MIST。Sui表示，MIST的引入將為微付款提供更好的支持，包括非常低的Gas費。[2022/10/21 16:33:59]

Tags：IST以太坊ISESUIA-List Royale比特幣以太坊行情分析HYPERRISESUIP幣

波場