通過猜測以太坊“弱私鑰”竊取大量以太幣_NAR

去年夏天，Bednarek正在思考如何竊取以太幣。他是一名安全顧問;當時，他正在為一個客戶工作，該客戶從事的是盜竊猖獗的加密貨幣行業。Bednarek被以太坊吸引，尤其是因為它臭名昭著的復雜性和那些移動端可能產生的潛在安全漏洞。

但他從最簡單的問題開始:如果以太幣的所有者用私鑰存儲他們的數字貨幣，私鑰是一串不可猜測的78位數字串，用于保護隱藏在某個地址的以太幣，它的值會是1嗎？

令Bednarek驚訝的是，根據記錄以太坊所有交易的賬本，他發現這個非常簡單的私鑰實際上曾經持有以太幣。但是資金已經被轉出了——幾乎可以肯定是一個小偷，他早在Bednarek之前就猜到了一個值為1的私鑰。畢竟，就像比特幣和其他加密貨幣一樣，如果有人知道某個以太坊私鑰，他們可以使用它派生密鑰得到相關公鑰、地址。然后，私鑰允許他們向任何地址轉賬，就像他們是合法的所有者一樣。

智利國會眾議院通過一項規范加密貨幣相關活動的金融科技法案:10月18日消息，智利國會眾議院通過了一項金融科技相關法案，該法案旨在明確提供基于數字和加密貨幣的服務的機構，該法案現提交至由智利總統GabrielBoric處，若其簽署將成為法律。該法案的范圍包括對加密貨幣交易所的監管，并將加密貨幣資產定義為“貨幣、商品或服務。”它還擴大了金融市場委員會的監管范圍，包括對加密貨幣交易所和加密貨幣托管提供商的監管。智利財政部長MarioMarcel指出，這項法案的目的是在鼓勵加密貨幣領域的競爭，而這個領域此前一直被認為屬于灰色、不受監管領域。（Bitcoin.com）[2022/10/18 17:30:38]

這個發現激起了Bednarek的好奇心。所以他嘗試了幾個連續的私鑰：2,3,4，然后再多幾十個私鑰，這些私鑰中的余額都被清空了。因此，他和安全咨詢公司IndependentSecurityEvaluators的同事們編寫了一些代碼，啟動了一些云服務器，并嘗試了幾十億。

一位加密交易員通過操縱GMX上AVAX代幣價格獲利超過50萬美元:金色財經報道，一位加密貨幣交易員部署了數百萬美元來操縱去中心化交易所GMX 上 Avalanche的AVAX代幣的價格，通過利用基本漏洞的策略獲利超過 50萬美元。在周日的幾條推文中，Genesis Trading衍生品負責人Joshua Lim表示，該交易員利用GMX漏洞大約五次，總利潤超過 500,000 美元至 700,000 美元。安全公司 PeckShield 在周日早上的一條推文中也將收益定為 565,000 美元，該推文已被刪除。

Lim 說，這位交易員每次的頭寸在 400 萬到 500 萬美元之間，并在他們進行的第一筆交易中提取了超過 158,000 美元。他補充說，這不是典型的漏洞利用，因為 GMX “按設計”工作。

金色財經此前報道，GMX稱，監測到AVAX/USD價格被故意操縱。[2022/9/19 7:06:31]

“這里有一個小偷，他聚斂了這些財富，但是當市場崩潰的時候，他又失去了所有財富。”——Bednarek

Solv Protocol提出的半勻質化通證標準ERC-3525獲得通過:9月6日消息，Solv Protocol提出的ERC-3525（半勻質化代幣標準）今日獲得通過。

據悉，ERC-3525標準可讓開發者創建高級金融資產，如債券、期權和資產支持證券（ABS）等新的金融產品，拓寬了鏈上金融產品范圍和跨度。[2022/9/6 13:11:39]

在這個過程中，正如他們周二發表的一篇論文中所詳述的那樣，研究人員不僅發現加密貨幣用戶在過去幾年中已經使用數百個易于猜測的私鑰來存儲他們的財富，而且還發現了他們所稱的“區塊鏈強盜”“。一個以太賬戶似乎使用同樣的猜私鑰技巧竊取了4.5萬以太幣——價值一度超過5000萬美元。

“他做著和我們一樣的事情，但他超越了我們，”Bednarek說。“不管這些人是誰，他們都花了大量的計算時間來尋找新的錢包，觀察每筆交易，看看他們是否有私鑰。”

波卡周報：以自動方式啟動大于1000個驗證人的提案已通過:波卡Polkadot今日在官方平臺更新本周進展，主要包括：1.7月6日，Parity工程師Jam提出以一種自動的方式，緩慢有度量的啟動大于1000個驗證人的過程。目前該議案已經投票通過，并開始執行；2.7月7日，波卡發布新的視頻，提醒2017年DOT分配參與者，當時的DOT分配是通過Parity的錢包生成的。此過程不再得到廣泛支持，并且與當前的BIP39標準不兼容。3.7月7日，波卡發布Gavin分享波卡治理的最新活動視頻，去中心化加密經濟系統是經濟上強大的實體，控制著非常大的價值（億萬甚至數十億美元）。治理對于最大化這些資源至關重要。截止發文，波卡主網的staking數據：波卡目前的版本：Polkadot CC1, version 13；現階段：第二階段NPoS，可進行提名和驗證人設置；全網已發行（映射）DOT：831.7萬；驗證人：197個；候選驗證人：178個；提名人：748個；抵押率：54.98%，即457.3萬個DOT正在進行staking；上一個era獎勵：1,821個DOT，一個ear=24小時。[2020/7/12]

梳理一望無際的海灘

聲音 | 王瑞錫：RAM 擴容提案通過應該是超級大利好:據金色財經合作媒體 IMEOS 報道，今日聯合專訪中 IMEOS 向王瑞錫提問：RAM擴容提案通過，每個區塊增加1KB RAM，相當于一年增加60G的內存供應，這對目前的RAM市場價格有什么變化，這對于目前的價格來說，是否算是個超級大利空？

王瑞錫回答：應該是超級大利好，市場不確定因素已經消失了。大家本身對EOS的預期也很高，對RAM的使用預期也一樣。[2018/7/26]

為了解釋“區塊鏈強盜”是如何工作的，需要先了解猜測隨機生成的以太坊私鑰的幾率為1/2256。這個分母非常大約是宇宙中原子的數量。Bednarek將識別隨機以太坊私鑰的任務與找海灘上的沙粒進行比較，這相當于在“十億個”海灘中找到兩個相同的沙子。

但是當他觀察以太區塊鏈時，Bednarek發現一些人將以太幣儲存在更簡單、更容易猜測的鑰匙上。他說，這可能是由于編碼錯誤而導致密鑰僅按預期長度的一小部分切斷私鑰，或者讓沒有經驗的用戶選擇自己的私鑰，甚至包含惡意代碼，破壞隨機化過程的以太坊錢包(使錢包的開發人員很容易猜測密鑰)造成的。

Bednarek和他的ISE同事最終掃描了340億個區塊鏈地址來尋找這些弱私鑰。他們稱這個過程為梳理以太坊，就像梳理海灘一樣，在以太坊的巨熵中尋找更多可以被猜測的沙粒。他們最終找到了732個可以被猜測的私鑰，這些私鑰曾一度有余額，但后來被清空了。盡管其中一些轉賬毫無疑問是合法的，但是Bednarek猜測，自以太坊在2015年推出以來，在被竊取資金的弱私鑰錢包總數中，732只是一小部分。

與此同時，在那些一無所有的地址中，Bednarek很感興趣地看到有12個地址似乎被同一個“強盜”清空了。他們的資金被轉移到同一個帳戶，現在擁有45000個以太幣。按今天的匯率計算，價值770萬美元。

梳理以太，轉走以太

Bednarek試圖將1美元的以太幣放入一個以前被“強盜”清空過的弱私鑰地址。在幾秒鐘內，它被轉移到了別的帳戶。然后Bednarek試圖將1美元的以太幣放入一個新的，以前未使用的弱私鑰地址，它也在幾秒鐘內被清空，這次被轉移到一個只持有幾千美元一臺幣的賬戶。但是，Bednarek可以在以太坊區塊鏈的待處理交易中看到，居然還有別的“強盜”也試圖抓住它，但在幾毫秒內被擊敗了。似乎有一個龐大的，預先生成的密鑰列表，并以非人的自動速度掃描它們。

事實上，當研究人員查看“區塊鏈強盜”在以太坊賬本上的記錄時，它在過去三年中已經從數千個地址中竊取了以太幣，但從未向外轉賬過，Bednarek認為這可能是一場自動化的以太幣盜竊事件。在2018年1月以太坊匯率達到頂峰時，該“強盜”的賬戶持有38,000以太幣，當時價值超過5400萬美元。從那時起，以太坊的價值一落千丈，將“區塊鏈強盜”的財富蒸發了約85％。

“你不為他感到難過嗎?”Bednarek笑著問。“這里有個小偷，他積累了這些財富，然后在市場崩盤時把它們幾乎賠光了。”

盡管追蹤這些轉賬，但Bednarek并不知道“區塊鏈強盜”可能是誰。“如果是像朝鮮這樣的國家行為體，我不會感到驚訝，但那只是猜測”，他指的是朝鮮政府近年來針對加密貨幣交易所和其他受害者發動攻擊，近年來竊取了價值超過5億美元的加密貨幣。

弱私鑰

Bednarek也無法找到產生弱私鑰的原因或惡意錢包。相反，他只能看到弱私鑰的使用和由此導致的盜竊的證據。他說：“我們可以看到人們被搶劫，但我們不能說哪個錢包軟件有責任，”。特別是“區塊鏈強盜”，目前尚不清楚簡單的弱私鑰盜竊是否占其被盜財富的大部分。“強盜”本可以使用其他的技巧，例如猜測“腦錢包”的助記詞-用可記憶的單詞代表私鑰，這些單詞比完全隨機的私鑰更容易暴力破解。一個安全研究小組在2017年找到了證據，有人通過這種方式竊取了2,846個比特幣，按當前匯率價值超過1700萬美元。在2015年底，一宗以太坊腦錢包盜竊案就帶走了4萬個以太，幾乎和“區塊鏈強盜”一樣多。

ISE尚未設法在原有的比特幣區塊鏈上重復實驗。但是Bednarek確實對大約100個比特幣弱鑰匙進行了一些抽查，發現相應錢包資金也全部被盜了，盡管沒有像“以太坊強盜”這樣明顯的大魚，可能是以比特幣為目標的盜賊更激烈、更分散的競爭的證據。

Bednarek認為ISEether的經驗教訓是，對于錢包開發人員來說，要仔細審計他們的代碼，以發現任何可能截斷密鑰并使其容易受到攻擊的bug。用戶應該注意他們選擇的錢包。“你不能打電話給服務臺，讓他們撤銷交易。當它消失時，它就永遠消失了。“人們應該使用可信錢包，并從可信來源下載。”拋開匯率的波動不談，區塊鏈大盜都已經足夠富有了。

Tags：NAREDNBEDAREMADinArtEDNAbed幣最新消息PRARE

SHIB最新價格