你的「紙錢包」可能不安全！私鑰盜竊問題叢生，資安新創 ...

在加密貨幣的世界裡，錢包所對應的「私鑰」就相當於該錢包所儲存的資產，是唯一可以動用錢包內資金的令牌，若私鑰生成或管理不善將造成極大的資安 ... 【超完整懶人包】認識比特幣！原理與應用全面解析｜動區新手村 BlockTempoBeginner–動區新手村 Home3 TradingTesting VideoTestingPage VideoTestingPage–Single 不只加密貨幣，談談那些你不知道的區塊鏈應用｜動區新手村 動區動趨-最有影響力的區塊鏈媒體(比特幣,加密貨幣) 最完整的「區塊鏈入門懶人包」｜動區新手村 關於BlockTempo 最新消息 加密貨幣市場 市場分析 交易所 投資分析 創投 區塊鏈商業應用 金融市場 銀行 錢包 支付 defi 區塊鏈平台 挖礦 供應鏈 遊戲 dApps 技術 比特幣 以太坊 分散式帳本技術 其他幣別 法規 央行 管制 犯罪 稅務 數據報告 私人機構報告 評級報告 區塊鏈新手教學 人物專訪 獨立觀點 新手懶人包 NoResult ViewAllResult 最新消息 加密貨幣市場 市場分析 交易所 投資分析 創投 區塊鏈商業應用 金融市場 銀行 錢包 支付 defi 區塊鏈平台 挖礦 供應鏈 遊戲 dApps 技術 比特幣 以太坊 分散式帳本技術 其他幣別 法規 央行 管制 犯罪 稅務 數據報告 私人機構報告 評級報告 區塊鏈新手教學 人物專訪 獨立觀點 新手懶人包 NoResult ViewAllResult NoResult ViewAllResult Home 區塊鏈商業應用 安全 你的「紙錢包」可能不安全！私鑰盜竊問題叢生，資安新創CYBAVO詳列危險清單 by CYBAVO 2020-08-03 in 安全,錢包 0 237 SHARES 3.9k VIEWS 分享至Facebook分享至Twitter 在加密貨幣的世界裡，錢包所對應的「私鑰」就相當於該錢包所儲存的資產，是唯一可以動用錢包內資金的令牌，若私鑰生成或管理不善將造成極大的資安漏洞，幾乎所有的加密貨幣被盜事件都與私鑰生成或管理不當有關。

本文由專欄作者CYBAVO撰稿。

（必讀乾貨：企業導入區塊鏈面臨的第一個問題：私鑰管理(資安)）   比特幣的錢包除了用來交易以外，通常還肩負私鑰生成的工作，有些安全意識較高的用戶會採用「離線生成私鑰」的方法，只有在動用比特幣時，才將私鑰導入錢包進行交易。

而離線生成私鑰的方法中，「紙錢包」受到許多人推崇，用戶只需要準備一台乾淨安全的電腦，連上「紙錢包生成網站」，進行斷網的動作後，直接使用網頁上的生成私鑰功能，就能取得一組新的私鑰與對應的錢包地址。

究其原理，生成私鑰本就不需要連接網路，私鑰本身就是一串亂數，生成過程只需要有一個「夠隨機」且符合標準的亂數種子。

「紙錢包生成網站」通常會提供一個可離線作業的JavaScript程式，在您電腦斷網並點擊生成私鑰時，該程式會利用一些亂度因子（例如：滑鼠軌跡、鍵盤輸入及系統時間等資訊）作為部分參數，並跟系統亂數嫡池取得符合標準的亂數後生成私鑰。

你的錢包安全嗎？ 但這樣生成的私鑰真的安全嗎？以下的分析您將發現，即便您的電腦是乾淨安全的、您生成私鑰的過程也沒有連上網路、而且您用來印出紙錢包的印表機服務中也沒有驅動攔截，即使在這樣完全安全的環境下，透過「紙錢包生成網站」生成出來的私鑰，依然有可能是危險的！ 前CYBAVO特聘研究員也是台灣密碼龐克（CypherpunksTaiwan）創辦人陳伯韋與CYBAVO合作，查到有人使用特定網站的紙錢包出現私鑰被盜的問題，經CYBAVO進一步追蹤後發現，多數「紙錢包生成網站」都是採用與BitAddress.org 相同的JavaScript原始程式碼進行二次開發。

這些網站不乏知名的「紙錢包生成網站」，如WalletGenerator.net及BitcoinPaperWallet.com等都已經被證實有後門存在。

延伸閱讀：密碼龐克｜基於數位浮水印和區塊鏈的「版權管理系統」設計方案 延伸閱讀：密碼龐克｜以區塊鏈為基礎的「電子化註冊」交付服務 多數「紙錢包生成網站」會將程式碼修改，有些手法粗糙，如果用戶生成私鑰時沒有斷網，它會將用戶隨機產生的私鑰訊息上傳；有些為了避免用戶在生成私鑰期間斷網，或在上傳私鑰時引起警覺，它只會修改亂數區間，讓私鑰只會在某個範圍內重複產生，意即不論用戶執行多少次生成私鑰，私鑰都只會是那幾百組重複產生。

對此，作為提供原始程式碼的BitAddress.org作者目前也僅能在用戶回覆中聲明這些事件與其無關，但無法對此有效遏阻。

雖然部分網站已經被列為可疑網頁，但仍有不少「紙錢包生成網站」換了網站樣貌跟地址後又再次重新上線，如AmazonPowers.com（在百度搜索排名前三名），用戶需特別注意，千萬避免在這些惡意的「紙錢包生成網站」上生成私鑰。

延伸閱讀：三大冷錢包商被駭？Trezor、Ledger、KeepKey驚傳逾8萬位用戶資料遭拍賣！ 危險的紙錢包 CYBAVO在實際測試後已成功產生出重複私鑰，同時該私鑰的相對地址還有比特幣交易紀錄存在，相關地址清單列於下，如果您的錢包是透過「紙錢包生成網站」產生，且生成地址在列表中，請即刻將資金轉出並棄用該錢包。

目前相當多地址都有交易紀錄，而且一旦有錢打入這些錢包就會被立刻轉出，顯然已有駭客利用此漏洞隨時監看這些地址，等有錢打進去就立刻轉走。

若您是這些紙錢包的受害者，歡迎與CYBAVO聯繫，我們將嘗試協助您取回被盜的比特幣。

以下為詳細地址清單： 1KGabGv4xwZCo6ebbFykKFPmdqNkYMmG4F 154SXM9EFqvxbvmuK87MYY6aAa3CNDcjFg 1BVaQaUHk46nXf1z7kBfgGG5pfPigUKU25 1L9xH7xU9YQ6p39pvNCnjM8A2Xjj1m8ZBS 1LswadF991seb6vYqWorGQd2dVvx6P2nAu 172bGAVUD7ZtJHEDLbBGCiG8uhSD9t7aPD 14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn 16WRqQsZQSWp7uD4Jhb1CrPvJq8D6ETuZA 1BQHKBxCeyMt7CJMSTiWXB74etuKhkDRpt 1CtF6gmdByQmxQ7JT43W63yt5taUgF4UVi 12ziu6dsjdZ7poY5LNxC8nDn1x7kKcQexv 1A8JZzxheW8mx1HbQKyJddbrECwPTXTQtk 133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa 1HGJEdzNHq89S96nJvkLdbj4NyPJM9qw3f 1MfPqSDiraPRBVyYASNkF8oc5Ja1ZkdsZn 16fUUF7GSF2GbVJig1KQrD4ksNMnUBX7Dq 1LjCLg4qU1X1Bd8xnaouNQthCAJpwqMZni 1LjiyXuYGYRs2Z8UKwTnLmomfJTsTBqwRh 1KzF87otzAW8FeVrWyiP5NA6dz39e6eaQ1 1EXG94GYR63F3ij8XKXpm2iGac2JFGTksp 14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k 14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn 1NSyCbfGibf1mahXCKaiiGNEvmgsfntdq3 133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa 13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4 1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9 1KYTAnNPoo2YtMVcywHsATR3mgffMwVphj 1GiQvuabtcNYSphXCQYH3dUCX88xnEifdA 1MNk9m9xuUYrvfdJLG8zxqPG7tfKBTn9Wx 1ECiYkHpgGyRJrs1aWW7bS6iyckubutSVZ 18cTBu3JhC7bBWrmEoT548TqLyKBkXnaT6 18JxFDL4oFFDVVHMXQvqJTDM73bQe1c2Vq 1P518UYVz6VbuPKgLPQjRUc2DYcaM6dQCf 1KkHiBAhkk3ZxoNiYZnTFLF4mTc5EnKDBb 1HdreMMZXY21U3ynoJqe4uE4J66q84c6oP 15DUoApHf5yq9kzHUekRzTNxhJWok9ZfG5 15uxEk954TSW3f7pSPSNdvDeEeTCPDHxip 14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k 1DSRUf7PbvckdaB7YHakPUfBuwt22Zboyu 1F5vVpwfdDNNVbPZmQguNJqsdrkWpU7gFE 12TnGq99e18gFwT1svkhNsUVAReEC6ARoJ 16ZBadgmztS92Sas1CFSTfhnyfE1mRwjaz 15bKRPVGSqS5njS9WjZPPFDKbDSY2NTTDf 13TujBeyeVh8E8amvamsDdNszw5FSD19qz 16QumJh6hE3d5W4hX87BbxKs1aBGDbSaKs 13TvhrFK4X7Y84jEyzDMvXKmbjPg4Y6evT 1PAD114RCjcMcfBHzCQEBe7BvzL2J9FpiB 17vDMhe1Ym9XQMyaa6ahW4fvU5ibVCniBi 184WrJZa5A8K2KxiZdpdrBHaj63FdfAAjC 18372nnAvma9VGduvREHzovGdiiptnrrw5 127i4e35gL11pNRsZnr7QeajU8bvY4ZkqR 1E6VqRpH3X9zCLFSJyu2BJmyELRxGNzB1S 1HJmAumP6T9SXuNmaUm8z36KFLPPZ499z2 15L6yf28VH8bxP2Pmwgwuud5pbvYysPsPr 1PJKrag4e41LP691iNDgGKELLRcDdzN2FD 1GRnLqV31mNxUahSTwzmQ13sTzeZ82rEQz 16yx9juHqYtLruTRXDPmfDJENiqaMhWSCW 13TujBeyeVh8E8amvamsDdNszw5FSD19qz 13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4 1Gkat5DVDD8SBShdBytwekyfQqyEp5ES8K 1QAF2Mb5kmj1WhgBx1nQC5C8CiWyTqyak4 CYBAVO戰略合作夥伴UnblockAnalysis 已經成功追蹤出相關金流，部分資金已進入交易所。

多數遭竊地址的比特幣會被發往固定地址累積，待達特定金額以上就迅速轉移，透過混幣後售出。

下圖為UnblockAnalysis就其中一個地址分析後的金流資訊圖： 鎖定地址（TargetAddress）：1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9 (A)1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9 (B)1BSZ6QW3kr2Cz8noutJo1hoa8sNybT4n25 (C)34wvFXLBe55BKV1YiKNQz1m2Fk2maJ4TZo (D)bc1qkr8gy0edcwwp2d3zdhtcf3gam42s9uvm4yx6sj 以上(A)為鎖定地址，(B)、(C)及(D)為流向地址，在2019年12月6日當天，資金從(A)轉帳到(B)、(B)轉帳到(C)、再由(C)轉帳到(D)，90分鐘內完成資金轉移，如此的資金流觸發了疑似「白手套（仲介）」的交易行為，更加確信駭客擁有該鎖定地址的私鑰，當資金進到錢包時隨即將資金移轉走。

最後，如果您個人或公司的錢包系統是採用上述程式碼產生私鑰的，也請您即刻檢視亂數產生的流程，請務必遵守以下三項原則： 注意生成私鑰時隨機亂數的取得方式，亂數必須符合NIST標準。

產生私鑰的種子長度至少要達到256bits。

產生私鑰的過程中，如有任何錯誤發生必須馬上中止，以避免生成「亂度不足」的私鑰。

📍相關報導📍 資安專欄｜你的加密貨幣資產「保險」了嗎？判斷交易所安不安全，有兩種簡單方法 資安專欄｜冰山之下的危局：統整DeFi現存的金融危機與挑戰 別管Coinbase！託管機構早把「你的交易資料」交給老大哥！從交易所轉到冷錢包也一樣 讓動區Telegram新聞頻道再次強大！！立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE與Messenger不定期為大家服務 分享此文：按一下以分享至Facebook(在新視窗中開啟)按一下以分享到Telegram(在新視窗中開啟)分享到Twitter(在新視窗中開啟)分享到LinkedIn(在新視窗中開啟) 相關新聞 Tags:加密貨幣錢包私鑰紙錢包資產安全 熱門文章 馬斯克Starlink抵烏！烏克蘭國防部提議：俄羅斯士兵「投降可獲5萬美元比特幣」 731shares Share292 Tweet183 最強停車NFT誕生?！嘟嘟房發行汽車元宇宙NFT，最大賦能200個享終身免費停車 1400shares Share560 Tweet350 資深交易員:美股、加密貨幣「第5浪」漲勢將至；比特幣巨鯨交易創月新高 436shares Share174 Tweet109 最新文章 觀點｜烏俄衝突，俄羅斯這一戰到底要花多少錢？ 2022-03-04 烏克蘭副總理：決定取消空投！改推NFT支持烏國軍隊；馬克宏警告最糟時刻將至、談判後開人道走廊 2022-03-04 「世界上第一次加密貨幣戰爭」-談歷史進程中的烏克蘭加密戰事 2022-03-03 關於我們 動區動趨 為您帶來最即時最全面 區塊鏈世界脈動剖析 之動感新聞站 主題分類主題分類 選取分類 #2021新年特輯  (5) 2019台灣區塊鏈產業指南  (14) 2020台灣區塊鏈產業年鑑  (9) ABS2018專題報導  (4) Libra  (13) Uncategorized  (60) Web3.0  (4) 人物專訪  (72) 元宇宙  (159) 加密貨幣市場  (4,647)    ICO  (90)    交易所  (1,406)    創投  (133)    市場分析  (1,287)    投資分析  (272)    穩定幣  (81) 區塊鏈商業應用  (4,586)    AI  (12)    Cefi  (17)    dao  (5)    dApps  (87)    defi  (855)    nft  (607)    供應鏈  (99)    保險  (29)    債券  (14)    區塊鏈平台  (331)    娛樂平台  (93)    安全  (185)    挖礦  (426)    支付  (541)    數位產權  (57)    物聯網  (36)    環境永續  (28)    社交  (113)    能源  (27)    身份驗證  (55)    遊戲  (163)    金融市場  (953)    銀行  (253)    錢包  (191) 區塊鏈新手教學  (156) 區塊鏈活動  (101) 即時新聞  (1,447) 國際組織報告  (11) 專欄作者  (564)    100天區塊鏈挑戰  (2)    EOSinsights  (3)    JiaJia  (9)    區鍵禧  (3)    哈希派  (4)    巴拉區塊事  (6)    比特彭  (5)    汪彪  (9)    財金哥&區塊妹  (5)    鄧庶杭  (7) 技術  (2,095)    EOS  (24)    以太坊  (587)    其他幣別  (380)    分散式帳本技術  (65)    比特幣  (960)    瑞波  (79) 推薦閱讀  (1) 數據報告  (2,322)    中國  (350)    亞太  (164)    其他國家  (200)    台灣  (217)    政府報告  (43)    歐洲  (148)    私人機構報告  (210)    美國  (1,015) 概念  (46) 法規  (1,958)    央行  (386)    犯罪  (559)    稅務  (92)    管制  (887) 灰度  (13) 獨立觀點  (576) 肺炎  (33) 訴訟  (34) 評級報告  (13) 訂閱我們的最新消息動區精選-為您整理一週間的國際動態 Leavethisfieldemptyifyou'rehuman: 關於BlockTempo 動區動趨BlockTempo©AllRightsReserved. NoResult ViewAllResult 新手特輯：比特幣超完整懶人包 市場脈動 商業應用 區塊鏈技術 數據洞察 政府法規 動區動趨BlockTempo©AllRightsReserved. WelcomeBack!Logintoyouraccountbelow ForgottenPassword? CreateNewAccount!Filltheformsbelowtoregister Allfieldsarerequired. LogIn Retrieveyourpassword Pleaseenteryourusernameoremailaddresstoresetyourpassword. LogIn AddNewPlaylist -SelectVisibility-PublicPrivate   載入迴響中...   發表迴響… 電子郵件(必要) 名稱(必要) 網站