賽博朋克的現代密碼學,可不是敲玻璃「有內鬼,終止交易」那么簡單。
兩天前,加密做市商Wintermute遭到黑客攻擊。由于使用Profanity生成以太坊地址的方式有漏洞,造成了私鑰的泄露,1.6億美元不翼而飛。
早在今年1月份,就有人在GitHub上提出了Profanity生成vanity可能所造成的問題。
此后,也有人證明了通過使用1000個強大的圖形處理單元,所有7位字符的vanity均可以在50天內被暴力破解。
在我們上周的分析文章中,我們也提到了今年9月15日,1inch在Medium上發表了一篇披露Profanity漏洞的文章,并詳細介紹了他們是如何利用vanity為用戶生成私鑰的。
OKX 總裁 Hong:從信任中介到自托管,OKX首創MPC無私鑰錢包,積極構建未來工具:金色財經報道,OKX 總裁 Hong 出席Web3香港嘉年華峰會并發表《從信任中介到自托管》主題演講。她指出,全球金融環境正值變局,人們正在從信任金融中介機構向自托管時代過渡,OKX作為全球領先的科技公司,正基于Web3技術構建未來工具。
Hong表示,當前行業發展正在從 CeFi 向 DeFi過渡,OKX正在積極做好做兩件事:一是引領CeFi走向公開、透明,除追求監管許可和審計外,還將創建更優PoR標準;二是引領DeFi 不斷進化,推動Web3進入多簽錢包時代,OKX Web3 錢包目前已支持57條公鏈,是最便捷的加密錢包之一。
據悉,OKX于本月推出了 MPC 無私鑰錢包,這是市面上第一個2/3的多鏈無私鑰錢包,現已支持37條公鏈。用戶使用 OKX 賬戶即可輕松創建錢包,無需管理復雜的私鑰或助記詞,輕松探索去中心化的 Web3 世界,是真正意義上的去中心化自托管錢包。同時,MPC無私鑰錢包首創了緊急出口功能,用戶可在緊急場景下,通過完全由自己管理的兩個私鑰分片導出私鑰提走資產。[2023/4/12 13:58:36]
2022年6月,一位1inch的參與者收到了來自@samczsun的一條奇怪消息,內容涉及其中一個1inch部署錢包以及Synthetix和其他一些錢包的可疑活動。
安全公司:EOS用戶參與DMD挖礦被盜10萬美元,或因私鑰失竊所致:針對Diamond.finance用戶被盜10萬USDT的事件,PeckShield安全人員跟進分析認為,該用戶被盜原因和eosio.code權限無關,疑似私鑰被盜。EOS公鏈上存在大量用戶敏感權限被操控的情況,安全意識較為薄弱的用戶在參與合約交互時,向一些合約平臺開放了權限,使得平臺可在用戶不知情的情況轉移用戶資產。截至目前,EOS公鏈上賬戶權限受控制的賬戶高達3,269個,涉及資產18,600個EOS。PeckShield在此預警,用戶參與流動性挖礦應避免使用曾經開放過Owner/Active授權的賬戶,避免資產遭受不必要的損失。[2020/9/7]
雖然這樣龐大的GPU需要大量資金投入,但許多加密貨幣采礦使用的GPU可達到更高數量,因此1000個GPU并不是完全不可能。
聲音 | 高德納分析師:加密錢包已面臨瓶頸,私鑰管理替代方案或能助其突破:知名研究及咨詢機構高德納(Gartner)分析師表示,軟硬件加密錢包即將進入“幻滅的低谷(Trough of Disillusionment)”,但未來似乎還是一片光明的,因為將會出現比私人密鑰更好的選擇。 區塊鏈最近的炒作周期表明,無論是硬件(如Ledger、Trezor和Keepkey)還是軟件錢包,都已經達到了膨脹預期的頂峰,軟件錢包已經觸底,而硬件錢包也正朝著同樣的方向發展。高德納分析師兼研究副總裁Avivah Litan稱:“圍繞硬軟件加密錢包有很多炒作,因為它們本質上只是給了加密投資者和用戶一個接口,讓其成為自己的‘銀行’。”因此,用戶希望他們能找到一種長期的賬戶訪問保護,但隨著時間的推移,用戶和提供商都意識到在維護用戶便利的同時保護私鑰是非常具有挑戰性的,無論由誰來做、如何做這件事。 Litan補充稱,“在未來2-5年,我相信市場將會看到替代訪問安全方法的大量創新,比如MPC(多方計算),它將取代目前應用于加密錢包中的私鑰管理,而私鑰管理正是區塊鏈應用程序的致命弱點。私鑰管理和恢復是維護區塊鏈帳戶訪問和數據安全的關鍵功能。”[2019/10/13]
那么私鑰到底是什么?
動態 | 新型詐騙錢包應用曝光 誘騙用戶私鑰竊取資金:近日,降維安全實驗室(johnwick.io)關注到一款關于EOS的惡意詐騙錢包SimplEOS。該錢包在Google Play商店中一直存在,用戶下載后,錢包應用會通過欺騙用戶泄露他們的私鑰來竊取資金。目前,該惡意應用程序已被Google下架。降維安全實驗室提示,安裝SimplEOS應用的用戶請自行檢查,一經發現請及時卸載,避免不必要的損失。[2018/11/12]
和私鑰經常“成雙入對”出現的公鑰又是怎樣形成的?
所有邁入Web3.0領域的用戶,首先需要了解的就是公鑰和私鑰的原理和功能,及其所帶來的安全風險。
密碼學
密碼學剛出現的時候,軍事及學術界就有了加密版的處理方式——將信息進行編碼,再用一套密語進行解碼。但該設計也有一個缺陷:加密和解密的短語一旦被他人獲知,就可以隨意解讀和發送信息。
早期的加密手法被稱為「對稱加密」,因為編碼和解碼短語相同。
直到20世紀70年代,密碼學家們發明了「非對稱加密」——創建了公鑰和私鑰,將加密過程一分為二。
在這個系統中,私鑰是一個多位的、隨機的質數,可作為ID,加密和解密信息。
這個私鑰再通過被稱為「橢圓曲線乘法」的數學函數生成一個公鑰,橢圓曲線乘法函數是實現加密貨幣的主要技術之一,它是一個基于加法階數難求問題的密碼方案。
以上信息說明了一個重點:公鑰可由私鑰衍生,但不能反過來。
私鑰
私鑰就像信用卡密碼——在加密領域,你甚至都不需要知道卡號,就可以訪問卡內資金并且進行交易。這意味著私鑰=資產,其重要性不言而喻。
私鑰可以選擇自己保存或交由其它機構負責??
1.將資產放置在托管錢包及中心化交易所的用戶是將私鑰的保存責任托付給了這些機構。
2.但對于那些非托管錢包來說,用戶就需要自己好好保存私鑰了。注意,這些私鑰往往以種子短語的形式出現,有點像以前的QQ密保。同時我們需要注意遠離黑客的侵襲,網絡釣魚攻擊甚至可以讓你主動“敞開錢包”。所以有一個原則就是:任何情況下,你都不可以把私鑰或者助記詞透露出去。
公鑰和私鑰的關系
公鑰和私鑰是在數學上相互關聯極其大的素數。關聯的意思即為:任何由公鑰加密的東西只能由相關的私鑰解密。公鑰由私鑰衍生,它是一個長的數字序列,可作為將資金發送至某地址的通行證,就像銀行卡號。
這一功能和現實中的地址很相似,比如我知道你家地址,我就能給你寄一封信。同樣的,如果加密世界中,我知道了你的公鑰,我就可以給你發送加密貨幣或者NFT。中本聰在設計區塊鏈交易的運作方式時,曾詳細介紹了公鑰和私鑰如何通過數字簽名實現交易。
在白皮書中,中本聰寫道:“每個所有者通過對先前交易的哈希和下一個所有者的公鑰進行數字簽名并將它們添加到代幣的末尾來將代幣轉移至下一個所有者。”
在這一過程中,中本聰描述了如何使用私鑰對交易進行身份驗證,以及如何將電子硬幣定義為數字簽名鏈。
比特幣白皮書中解釋相關過程的圖表
Web3.0安全
Wintermute攻擊事件告訴我們:如果錢包地址是用Profanity工具生成的,那么錢包內的資產將不再安全,請盡快將所有資金轉移。另外,如果用Profanity獲得了一個vanity的智能合約地址,請確保該智能合約的所有者可改變。
對于其他用戶來說,了解私鑰和公鑰,以及了解它們的交互方式是了解Web3.0的基礎。在護持安全時,CertiK安全團隊在此建議:
1.在任何情況下都不要泄露私鑰
2.慎重選擇自行持有私鑰亦或將其托管給相關機構比如錢包或交易所
永遠不要將鑰匙從一個錢包導入另一個錢包
使用硬件錢包
使用提供高級安全功能的軟件錢包
區塊鏈的透明性讓諸如CertiKSkynet天網動態掃描系統以及SkyTrace這樣的區塊鏈分析工具有了用武之地。
這對Web3.0安全至關重要——在攻擊發生時,可幫助我們了解攻擊發生的事件、被盜資金去向及如何減輕損失。
尤其是SkyTrace可通過公鑰來追蹤和可視化錢包之間的資金流動,這又為項目提供了一條追蹤被盜資金的途徑,并有概率借此引出黑客的信息。
Skynet天網動態掃描系統也是一樣,可以通過主動監控鏈上活動,根據項目的流動性、代幣的分布以及任何異常生成實時洞察。
但透明度對我們追蹤相關信息有幫助,也同樣可以幫助黑客選擇目標。正因如此,一些比如Coinbase這樣的平臺會在用戶每次交易時為他們生成一個新地址,這樣第三方就無法僅僅通過區塊鏈瀏覽器來查看用戶們的交易情況了。這也在一定程度上,保障了Web3.0的隱私性。
據官方消息,為祝賀多米尼克法定數字貨幣法案正式生效,波場Poloniex推出“交易多米尼克法定數字貨幣,瓜分50,000USDT”活動.
1900/1/1 0:00:00對推特(Twitter)來說,這是十分忙碌的一周。這家社交媒體平臺在宣布被埃隆·馬斯克(Elonmusk)私人收購之后,即將迎來其作為上市公司的最后幾天時光.
1900/1/1 0:00:00可持續性將日益成為區塊鏈行業未來的核心標準。而分析特定區塊鏈的能源效率的方法是,檢查其創建和維護信息塊的過程:該區塊鏈的用戶如何同意記錄和驗證分布式數據庫每個塊中包含的信息,換句話說,如何達成共.
1900/1/1 0:00:00據官方消息,9月10日,Blockchain.com錢包支持TRX,轉入獎勵賬戶即可賺取最高8%年化收益.
1900/1/1 0:00:00AriJuels是紐約康奈爾大學的教授,也是IC3的聯合董事。另外,他還是ChainlinkLabs的首席科學家.
1900/1/1 0:00:00當你正在閱讀這篇文章的時候,以太坊已經成功完成了其歷史上最為隆重的一次升級。以太坊作為具有智能合約功能的去中心化開源公鏈,得益于DeFi協議和NFT這兩年的蓬勃發展,收獲了不少支持者.
1900/1/1 0:00:00