时间:2022-02-22|浏览:7378
用戶喜愛的交易所
已有账号登陆后会弹出下载
在加密货币的世界里,钱包对应的私钥相当于钱包储存的资产,是钱包中唯一可以使用资金的令牌。如果私钥生成或管理不善,会造成很大的资金安全漏洞,几乎所有的加密货币盗窃都与私钥生成或管理不当有关。
除了交易,比特币钱包通常还承担私钥生成的工作。一些安全意识高的用户会使用它「离线生成私钥」只有在使用比特币时,私钥才会导入钱包进行交易。在离线生成私钥的方法中,「纸钱包」受到很多人的尊重,用户只需要准备一台干净安全的电脑连接「纸钱包生成网站」,断网后,直接使用网页上的生成私钥功能,可以获得一组新的私钥和相应的钱包地址。
究其原理,生成私钥本就不需要连接网路,私钥本身就是一串乱数,生成过程只需要有一个「够随机」而符合标准的乱数种子。「纸钱包生成网站」通常提供离线操作JavaScript 程序,当用户的计算机断开并点击生成私钥时,该程序将使用一些混乱因素(如滑鼠轨迹、键盘输入和系统时间)作为参数的一部分,并在与系统混乱池获得标准混乱后生成私钥。但的私钥真的安全吗?
通过以下分析,用户会发现,即使计算机干净安全,生成私钥的过程也没有连接到互联网,用于印刷纸钱包的印刷机服务也没有驱动拦截,即使在这样一个完全安全的环境中,通过「纸钱包生成网站」生成的私钥仍然可能是危险的!
庞克,台湾密码(Cypherpunks Taiwan)创始人陈伯韦和资安公司CYBAVO合作,查到有人使用特定网站的纸钱包出现私钥被盗的问题,经CYBAVO经过进一步跟踪,发现大部分都是进一步跟踪的。「纸钱包生成网站」都是采用与BitAddress.org 相同的JavaScript二次开发原始程式码。这些网站不乏知名度「纸钱包生成网站」,如WalletGenerator.net及BitcoinPaperWallet.com已被证实有后门。
正如区块客之前报道的那样,加密货币纸钱包生产器 WalletGenerator.net运行的代码被爆料「存在漏洞」,批量生产器允许将同一组钱包的私钥和公钥重复发送给许多用户,但事实上,每个人获得的密钥应该是独特的和随机的。
不得不提,为了确保纸钱包的安全性,密钥必须是随机生成的,然而,多数「纸钱包生成网站」程式码将被修改,有些技术很粗糙。如果用户在生成私钥时没有断开网络,它将上传用户随机生成的私钥信息;有些人只会修改混乱范围,让私钥在一定范围内重复,即无论用户执行多少次,私钥只会重复数百组,更不用说随机生成了「独一无二」。
为此,提供原始程式码BitAddress.org目前,作者只能在用户回复中声明这些事件与之无关,但无法有效遏制。虽然有些网站已经被列为可疑网页,但仍然有很多「纸钱包生成网站」改变网站外观和地址后,再次上线,如AmazonPowers.com(百度搜索排名前三),用户要特别注意,避免这些恶意「纸钱包生成网站」生成私钥。
CYBAVO 实际测试后成功生成重复私钥,私钥的相对地址和比特币交易记录,如果读者的钱包通过「纸钱包生成网站」生成并在列表中生成地址,请立即转移资金并放弃钱包。目前,相当多的地址都有交易记录,一旦钱进入这些钱包,它就会立即被转移。显然,黑客利用这个漏洞随时监控这些地址,当钱进入时立即转移。