Odaily星球日报出品作者|秦晓峰编辑|卢晓明
据securityevaluators消息,独立安全评估机构(ISE)近日发布了一份名为Ethercombing的新研究,该研究主要针对以太坊钱包私钥的安全性。ISE发现,目前在以太坊区块链上有732个私钥由于随机性不高,存在被盗风险。此外,自去年开始,一个名为“Blockchainbandit”黑客组织便通过低安全性的私钥进行盗币活动,一度达到37926个ETH。直到今天,该组织仍未停手。私钥随机性不高
以太坊公钥和地址的生成依赖私钥,有了私钥就能生成公钥和地址,就能够花费对应地址上面的以太币。而私钥本质上是一个随机数,由32个byte组成的数组,1个byte等于8位二进制,一个二进制只有两个值:0或者1。所以私钥的总数是将近2^(8*32)=2^256个,破解私钥的概率是1/2^256。ISE研究员AdrianBednarek表示,虽有理论上还是存在概率,但实际上想要强行破解私钥的是不可能的。即使我们使用的计算资源可以让我们每秒产生100万亿个密钥,也需要大约几年的时间,实际上我们根本没有这样的计算资源。不过,ISE却在实验中发现,由于一些生成私钥的钱包软件编码存在错误,导致产生的私钥随机性不高,容易被计算机暴力破解。ISE举例说,本来一个256位的私钥应该是:0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代码存在问题,私钥的完整性在输出时被截断为32位,产生结果如下:0x0000000000000000000000000000000000000000000000000000000037BDDB5C对于计算机而言,破解32位的私钥难度远远低于破解256位的私钥难度。除了钱包编码错误,内存参考问题、内存损坏、随机设备错误、随机种子重复使用、对象混淆、堆栈损坏、输入混淆、熵错误、堆损坏或未检查的预编译编码错误都可能导致私钥不够随机,安全性降低。ISE研究人员在实验中发现,目前以太坊区块链上共有732个私钥随机性不强,存在泄漏风险;当前这些私钥仍出于活跃状态,并与链上的49,060笔交易相关联。为了测试所发现的低安全性私钥,ISE研究人员向其中一个地址转入了价值1美元的ETH,结果几秒钟后这笔Token便被转走。ISE跟踪发现,Token最终流向了一个名为“Blockchainbandit”的黑客组织钱包。该组织从2018年1月起便开始盗窃一些安全性较弱的私钥,最高峰时该地址余额达到37,926个ETH的余额,当时价值5400万美元。直到今天,该组织仍未停手。以太坊本身没有问题
OPNX:在大约60万Celsius独立债权人中,85%属于小额债权人:5月29日消息,Three Arrows Capital 创始人 Zhu Su 等人创办的加密索赔和交易平台 Open Exchange(OPNX)发推称,之所以将 Celsius Network 破产索赔确定为 OPNX 平台上第一个索赔代币和第一个代币化的现实世界资产,是因为 Celsius Network 有一个完全未经编辑的债权人数据库,因此可以快速验证债权人并提供准确估值。此外,在大约 60 万独立债权人中,有 85% 属于「小额债权人」,即索赔金额在 5000 美元或以下,可以用高流动性加密资产(比如 BTC、ETH、USDC)进行一次性支付。此外,尽管 Celsius 选择 Fahrenheit 来收购其资产,但不知道该过程需要多长时间才能完成以及债权人能收到付款。[2023/5/29 9:48:37]
私钥出现问题,是不是意味着以太坊区块链本身技术存在漏洞?以太坊研究人员胡靖宇向Odaily星球日报表示,目前出现的低安全性私钥,主要是钱包的问题,和以太坊本身没有关系。以太坊核心开发者陳昶吾也认为以太坊本身的算法并没有问题。陳昶吾补充说,除了随机数,签名过程中要用到的K值也会影响私钥的安全性。“产生签名的过程中会用到一个秘密的K值,目前BTC和ETH都用RFC6979产生这个值,这个K值必须随机且唯一。但一些对密码学算法编程不够熟悉的程序员很可能会忽视这些细节,导致私钥外泄。”在报告最后,ISE也向开发人员和用户给出了建议:针对开发人员:使用比较知名的库或特定平台的模块生成随机数;使用加密安全的伪随机数生成器;审计源代码和生成的编译代码,以验证随机生成的密钥不会被截断;使用多个熵源;利用AMD/Intel提供的NIST兼容硬件随机数生成指令*查看有关加密随机数生成的NIST/FIPS指南审查并使用NIST统计测试套件(NISTSP800-22)针对使用钱包的用户:不要使用可能获取私钥的不可信软件;私钥应该是完全随机的,因此使用可信的软件和硬件钱包生成私钥;不要生成基于某种密码的私钥,因为更容易被破解。此前,私钥总被认为是不可攻破的,但从目前的情况来看,坚固的堡垒却先从内部瓦解。另外,根据IBM研究中心的负责人ArvindKrishna所言,量子计算机可分分钟破解如今最强大的安全技术保护的加密敏感数据,包括私钥。
动态 | 日本加密货币商业协会希望对加密货币采用20%的申告分离课税及小额免税制度:据Crypto Watch 7月25日消息,日本加密货币商业协会(JCBA)于7月24日在该协会的税务系统审查委员会公布了2020年税制修改请求书。鉴于此前日本议会颁布的“资金结算法”和“金融商品交易法修改版”计划于2020年4月生效,虚拟货币(加密资产)将在“金商法”的框架内。该协会提出的请求重点为以下三点:1、对加密资产衍生品交易征收20%的申报分离课税,上一年的损失可于第二年开始之后的三年间从衍生品交易相关收入金额中结转扣除。2、对加密资产交易产生的利润征收20%的申报分离课税,上一年的损失可于第二年开始之后的三年间从加密资产相关收入金额中结转扣除。3、如果加密货币资产交易赚取的利润一年在20万日元以内,则采用小额免税制度。此前7月22日消息,日本加密货币交易所协会(JVCEA)已于7月19日向日本金融厅提交了2020年度税制修改请求书。要求加密货币申报分离课税、建立小额免税、扣除盈亏和结转税收等。[2019/7/25]
声音 | 彭博:Bitfinex事件显示小额投资者面临更高风险:彭博发文称:在周四提起的民事诉讼中,纽约总检察长指控Bitfinex隐瞒了约8.5亿美元的资金漏洞。而据两位知情人士透露,(在Bitfinex的财产管理中)规模较小的投资者获得的保障较少,他们的资金往往被Bitfinex送往世界各地的公司。与此同时,数百万美元规模的账户则受更多保护,其资金有时是通过纽约的托管银行保存。 知情人士表示,Bitfinex零售客户被告知其存款通过Crypto Capital直接存入波兰、葡萄牙和其他地区。而对于数百万美元的机构投资者,Bitfinex曾于2017年在波多黎各的Noble银行开户,随后又于2018年在巴哈马的Deltec银行开户。实际上,Noble银行并没有持有这些资金,纽约梅隆银行曾一度担任托管方,这进一步增强了资深投资者在与Bitfinex交易时获得的保护。[2019/4/27]
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。