ISE:?以太坊私钥不够随机，黑客破解私钥进行盗币

Odaily星球日报出品作者|秦晓峰编辑|卢晓明

据securityevaluators消息，独立安全评估机构(ISE)近日发布了一份名为Ethercombing的新研究，该研究主要针对以太坊钱包私钥的安全性。ISE发现，目前在以太坊区块链上有732个私钥由于随机性不高，存在被盗风险。此外，自去年开始，一个名为“Blockchainbandit”黑客组织便通过低安全性的私钥进行盗币活动，一度达到37926个ETH。直到今天，该组织仍未停手。私钥随机性不高

以太坊公钥和地址的生成依赖私钥，有了私钥就能生成公钥和地址，就能够花费对应地址上面的以太币。而私钥本质上是一个随机数，由32个byte组成的数组，1个byte等于8位二进制，一个二进制只有两个值：0或者1。所以私钥的总数是将近2^(8*32)=2^256个，破解私钥的概率是1/2^256。ISE研究员AdrianBednarek表示，虽有理论上还是存在概率，但实际上想要强行破解私钥的是不可能的。即使我们使用的计算资源可以让我们每秒产生100万亿个密钥，也需要大约几年的时间，实际上我们根本没有这样的计算资源。不过，ISE却在实验中发现，由于一些生成私钥的钱包软件编码存在错误，导致产生的私钥随机性不高，容易被计算机暴力破解。ISE举例说，本来一个256位的私钥应该是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代码存在问题，私钥的完整性在输出时被截断为32位，产生结果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C对于计算机而言，破解32位的私钥难度远远低于破解256位的私钥难度。除了钱包编码错误，内存参考问题、内存损坏、随机设备错误、随机种子重复使用、对象混淆、堆栈损坏、输入混淆、熵错误、堆损坏或未检查的预编译编码错误都可能导致私钥不够随机，安全性降低。ISE研究人员在实验中发现，目前以太坊区块链上共有732个私钥随机性不强，存在泄漏风险；当前这些私钥仍出于活跃状态，并与链上的49,060笔交易相关联。为了测试所发现的低安全性私钥，ISE研究人员向其中一个地址转入了价值1美元的ETH，结果几秒钟后这笔Token便被转走。ISE跟踪发现，Token最终流向了一个名为“Blockchainbandit”的黑客组织钱包。该组织从2018年1月起便开始盗窃一些安全性较弱的私钥，最高峰时该地址余额达到37,926个ETH的余额，当时价值5400万美元。直到今天，该组织仍未停手。以太坊本身没有问题

FTX索赔用户成为网络钓鱼攻击的潜在目标:金色财经报道，加密货币交易所FTX多名用户在收到交易所官方客户支持电子邮件发送的“重置密码”请求后，成为潜在网络钓鱼攻击的目标。该电子邮件已经过安全公司的查证，由support@ftx.com发送，这是该交易所倒闭前的官方电子邮件地址。密码重置链接路由至FTX索赔门户，该门户允许用户针对其在平台停业前持有的资产提交破产索赔。如果黑客获得了用户的个人电子邮件地址的访问权限，他们就可以访问索赔人的帐户并将资金转移到他们的个人钱包中。[2023/7/20 11:07:35]

私钥出现问题，是不是意味着以太坊区块链本身技术存在漏洞？以太坊研究人员胡靖宇向Odaily星球日报表示，目前出现的低安全性私钥，主要是钱包的问题，和以太坊本身没有关系。以太坊核心开发者陳昶吾也认为以太坊本身的算法并没有问题。陳昶吾补充说，除了随机数，签名过程中要用到的K值也会影响私钥的安全性。“产生签名的过程中会用到一个秘密的K值，目前BTC和ETH都用RFC6979产生这个值，这个K值必须随机且唯一。但一些对密码学算法编程不够熟悉的程序员很可能会忽视这些细节，导致私钥外泄。”在报告最后，ISE也向开发人员和用户给出了建议：针对开发人员：使用比较知名的库或特定平台的模块生成随机数；使用加密安全的伪随机数生成器；审计源代码和生成的编译代码，以验证随机生成的密钥不会被截断；使用多个熵源；利用AMD/Intel提供的NIST兼容硬件随机数生成指令*查看有关加密随机数生成的NIST/FIPS指南审查并使用NIST统计测试套件(NISTSP800-22)针对使用钱包的用户：不要使用可能获取私钥的不可信软件；私钥应该是完全随机的，因此使用可信的软件和硬件钱包生成私钥；不要生成基于某种密码的私钥，因为更容易被破解。此前，私钥总被认为是不可攻破的，但从目前的情况来看，坚固的堡垒却先从内部瓦解。另外，根据IBM研究中心的负责人ArvindKrishna所言，量子计算机可分分钟破解如今最强大的安全技术保护的加密敏感数据，包括私钥。

Circle：正努力恢复USDC的流动性运作，包括引入新的交易银行合作伙伴:金色财经报道，USDC稳定币发行商Circle在博客文章中表示：“自从Signature Bank和Silvergate Bank倒闭以来，我们团队一直在夜以继日地工作以恢复USDC的流动性运营，包括引入新的交易银行合作伙伴。我们于当地时间3月13日星期一早上开始处理铸造和赎回请求，当时美国银行系统重新开放，目前正在处理积压的请求。我们在这里还有更多工作要做，包括添加具有24/7/365功能的新交易银行合作伙伴，当地时间3月13日，Circle赎回了29亿美元USDC，并铸造了7亿美元USDC。”

文章还表示：“作为加强USDC储备的持续举措的一部分，我们现在在纽约梅隆银行持有储备的现金部分，除了在交易银行合作伙伴处持有的有限资金，以支持USDC的铸造和赎回。大部分储备投资于由贝莱德管理、BNYM托管的Circle reserve Fund，主要由短期美国国债组成。”[2023/3/15 13:05:04]

花旗集团区块链和数字资产总监将离职并加入SIX Digital Exchange:金色财经报道，根据LinkedIn页面，花旗集团的区块链和数字资产总监Kech将离职并加入SIX Digital Exchange，SIX Digital Exchange是一家瑞士数字资产交易所，提供加密资产的交易、结算和托管服务。Kech表示他将在11月开始“新的激动人心的挑战”。[2022/10/7 18:41:25]

UpLift DAO与安全审计公司CertiK达成合作:6月1日消息，加密项目孵化服务去中心化自治组织 UpLift 宣布与安全审计公司 CertiK 达成合作伙伴关系，旨在构建一个安全可靠的 Launchpad 服务，CertiK 将对在 UpLift 上启动的项目的智能合约和区块链代码进行渗透测试、手动代码审查和全面的安全评估。截止目前，UpLift DAO 共筹集了 1,211,158.57 BUSD，用于 DeFi、GameFi 和 NFT 领域的项目扩展。（cryptopolitan）[2022/6/1 3:54:38]

标签：以太坊ISEUSDUSDC以太坊价格美元实时WISER币币世界快讯GUSDTusdc币是什么币

Filecoin热门资讯