你的「紙錢包」可能不安全!私鑰盜竊問題叢生,資安新創 ...
文章推薦指數: 80 %
在加密貨幣的世界裡,錢包所對應的「私鑰」就相當於該錢包所儲存的資產,是唯一可以動用錢包內資金的令牌,若私鑰生成或管理不善將造成極大的資安 ...
【超完整懶人包】認識比特幣!原理與應用全面解析|動區新手村
BlockTempoBeginner–動區新手村
Home3
TradingTesting
VideoTestingPage
VideoTestingPage–Single
不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
動區動趨-最有影響力的區塊鏈媒體(比特幣,加密貨幣)
最完整的「區塊鏈入門懶人包」|動區新手村
關於BlockTempo
最新消息
加密貨幣市場
市場分析
交易所
投資分析
創投
區塊鏈商業應用
金融市場
銀行
錢包
支付
defi
區塊鏈平台
挖礦
供應鏈
遊戲
dApps
技術
比特幣
以太坊
分散式帳本技術
其他幣別
法規
央行
管制
犯罪
稅務
數據報告
私人機構報告
評級報告
區塊鏈新手教學
人物專訪
獨立觀點
新手懶人包
NoResult
ViewAllResult
最新消息
加密貨幣市場
市場分析
交易所
投資分析
創投
區塊鏈商業應用
金融市場
銀行
錢包
支付
defi
區塊鏈平台
挖礦
供應鏈
遊戲
dApps
技術
比特幣
以太坊
分散式帳本技術
其他幣別
法規
央行
管制
犯罪
稅務
數據報告
私人機構報告
評級報告
區塊鏈新手教學
人物專訪
獨立觀點
新手懶人包
NoResult
ViewAllResult
NoResult
ViewAllResult
Home
區塊鏈商業應用
安全
你的「紙錢包」可能不安全!私鑰盜竊問題叢生,資安新創CYBAVO詳列危險清單
by
CYBAVO
2020-08-03
in
安全,錢包
0
237
SHARES
3.9k
VIEWS
分享至Facebook分享至Twitter
在加密貨幣的世界裡,錢包所對應的「私鑰」就相當於該錢包所儲存的資產,是唯一可以動用錢包內資金的令牌,若私鑰生成或管理不善將造成極大的資安漏洞,幾乎所有的加密貨幣被盜事件都與私鑰生成或管理不當有關。
本文由專欄作者CYBAVO撰稿。
(必讀乾貨:企業導入區塊鏈面臨的第一個問題:私鑰管理(資安))
比特幣的錢包除了用來交易以外,通常還肩負私鑰生成的工作,有些安全意識較高的用戶會採用「離線生成私鑰」的方法,只有在動用比特幣時,才將私鑰導入錢包進行交易。
而離線生成私鑰的方法中,「紙錢包」受到許多人推崇,用戶只需要準備一台乾淨安全的電腦,連上「紙錢包生成網站」,進行斷網的動作後,直接使用網頁上的生成私鑰功能,就能取得一組新的私鑰與對應的錢包地址。
究其原理,生成私鑰本就不需要連接網路,私鑰本身就是一串亂數,生成過程只需要有一個「夠隨機」且符合標準的亂數種子。
「紙錢包生成網站」通常會提供一個可離線作業的JavaScript程式,在您電腦斷網並點擊生成私鑰時,該程式會利用一些亂度因子(例如:滑鼠軌跡、鍵盤輸入及系統時間等資訊)作為部分參數,並跟系統亂數嫡池取得符合標準的亂數後生成私鑰。
你的錢包安全嗎?
但這樣生成的私鑰真的安全嗎?以下的分析您將發現,即便您的電腦是乾淨安全的、您生成私鑰的過程也沒有連上網路、而且您用來印出紙錢包的印表機服務中也沒有驅動攔截,即使在這樣完全安全的環境下,透過「紙錢包生成網站」生成出來的私鑰,依然有可能是危險的!
前CYBAVO特聘研究員也是台灣密碼龐克(CypherpunksTaiwan)創辦人陳伯韋與CYBAVO合作,查到有人使用特定網站的紙錢包出現私鑰被盜的問題,經CYBAVO進一步追蹤後發現,多數「紙錢包生成網站」都是採用與BitAddress.org 相同的JavaScript原始程式碼進行二次開發。
這些網站不乏知名的「紙錢包生成網站」,如WalletGenerator.net及BitcoinPaperWallet.com等都已經被證實有後門存在。
延伸閱讀:密碼龐克|基於數位浮水印和區塊鏈的「版權管理系統」設計方案
延伸閱讀:密碼龐克|以區塊鏈為基礎的「電子化註冊」交付服務
多數「紙錢包生成網站」會將程式碼修改,有些手法粗糙,如果用戶生成私鑰時沒有斷網,它會將用戶隨機產生的私鑰訊息上傳;有些為了避免用戶在生成私鑰期間斷網,或在上傳私鑰時引起警覺,它只會修改亂數區間,讓私鑰只會在某個範圍內重複產生,意即不論用戶執行多少次生成私鑰,私鑰都只會是那幾百組重複產生。
對此,作為提供原始程式碼的BitAddress.org作者目前也僅能在用戶回覆中聲明這些事件與其無關,但無法對此有效遏阻。
雖然部分網站已經被列為可疑網頁,但仍有不少「紙錢包生成網站」換了網站樣貌跟地址後又再次重新上線,如AmazonPowers.com(在百度搜索排名前三名),用戶需特別注意,千萬避免在這些惡意的「紙錢包生成網站」上生成私鑰。
延伸閱讀:三大冷錢包商被駭?Trezor、Ledger、KeepKey驚傳逾8萬位用戶資料遭拍賣!
危險的紙錢包
CYBAVO在實際測試後已成功產生出重複私鑰,同時該私鑰的相對地址還有比特幣交易紀錄存在,相關地址清單列於下,如果您的錢包是透過「紙錢包生成網站」產生,且生成地址在列表中,請即刻將資金轉出並棄用該錢包。
目前相當多地址都有交易紀錄,而且一旦有錢打入這些錢包就會被立刻轉出,顯然已有駭客利用此漏洞隨時監看這些地址,等有錢打進去就立刻轉走。
若您是這些紙錢包的受害者,歡迎與CYBAVO聯繫,我們將嘗試協助您取回被盜的比特幣。
以下為詳細地址清單:
1KGabGv4xwZCo6ebbFykKFPmdqNkYMmG4F
154SXM9EFqvxbvmuK87MYY6aAa3CNDcjFg
1BVaQaUHk46nXf1z7kBfgGG5pfPigUKU25
1L9xH7xU9YQ6p39pvNCnjM8A2Xjj1m8ZBS
1LswadF991seb6vYqWorGQd2dVvx6P2nAu
172bGAVUD7ZtJHEDLbBGCiG8uhSD9t7aPD
14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn
16WRqQsZQSWp7uD4Jhb1CrPvJq8D6ETuZA
1BQHKBxCeyMt7CJMSTiWXB74etuKhkDRpt
1CtF6gmdByQmxQ7JT43W63yt5taUgF4UVi
12ziu6dsjdZ7poY5LNxC8nDn1x7kKcQexv
1A8JZzxheW8mx1HbQKyJddbrECwPTXTQtk
133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa
1HGJEdzNHq89S96nJvkLdbj4NyPJM9qw3f
1MfPqSDiraPRBVyYASNkF8oc5Ja1ZkdsZn
16fUUF7GSF2GbVJig1KQrD4ksNMnUBX7Dq
1LjCLg4qU1X1Bd8xnaouNQthCAJpwqMZni
1LjiyXuYGYRs2Z8UKwTnLmomfJTsTBqwRh
1KzF87otzAW8FeVrWyiP5NA6dz39e6eaQ1
1EXG94GYR63F3ij8XKXpm2iGac2JFGTksp
14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k
14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn
1NSyCbfGibf1mahXCKaiiGNEvmgsfntdq3
133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa
13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4
1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
1KYTAnNPoo2YtMVcywHsATR3mgffMwVphj
1GiQvuabtcNYSphXCQYH3dUCX88xnEifdA
1MNk9m9xuUYrvfdJLG8zxqPG7tfKBTn9Wx
1ECiYkHpgGyRJrs1aWW7bS6iyckubutSVZ
18cTBu3JhC7bBWrmEoT548TqLyKBkXnaT6
18JxFDL4oFFDVVHMXQvqJTDM73bQe1c2Vq
1P518UYVz6VbuPKgLPQjRUc2DYcaM6dQCf
1KkHiBAhkk3ZxoNiYZnTFLF4mTc5EnKDBb
1HdreMMZXY21U3ynoJqe4uE4J66q84c6oP
15DUoApHf5yq9kzHUekRzTNxhJWok9ZfG5
15uxEk954TSW3f7pSPSNdvDeEeTCPDHxip
14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k
1DSRUf7PbvckdaB7YHakPUfBuwt22Zboyu
1F5vVpwfdDNNVbPZmQguNJqsdrkWpU7gFE
12TnGq99e18gFwT1svkhNsUVAReEC6ARoJ
16ZBadgmztS92Sas1CFSTfhnyfE1mRwjaz
15bKRPVGSqS5njS9WjZPPFDKbDSY2NTTDf
13TujBeyeVh8E8amvamsDdNszw5FSD19qz
16QumJh6hE3d5W4hX87BbxKs1aBGDbSaKs
13TvhrFK4X7Y84jEyzDMvXKmbjPg4Y6evT
1PAD114RCjcMcfBHzCQEBe7BvzL2J9FpiB
17vDMhe1Ym9XQMyaa6ahW4fvU5ibVCniBi
184WrJZa5A8K2KxiZdpdrBHaj63FdfAAjC
18372nnAvma9VGduvREHzovGdiiptnrrw5
127i4e35gL11pNRsZnr7QeajU8bvY4ZkqR
1E6VqRpH3X9zCLFSJyu2BJmyELRxGNzB1S
1HJmAumP6T9SXuNmaUm8z36KFLPPZ499z2
15L6yf28VH8bxP2Pmwgwuud5pbvYysPsPr
1PJKrag4e41LP691iNDgGKELLRcDdzN2FD
1GRnLqV31mNxUahSTwzmQ13sTzeZ82rEQz
16yx9juHqYtLruTRXDPmfDJENiqaMhWSCW
13TujBeyeVh8E8amvamsDdNszw5FSD19qz
13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4
1Gkat5DVDD8SBShdBytwekyfQqyEp5ES8K
1QAF2Mb5kmj1WhgBx1nQC5C8CiWyTqyak4
CYBAVO戰略合作夥伴UnblockAnalysis 已經成功追蹤出相關金流,部分資金已進入交易所。
多數遭竊地址的比特幣會被發往固定地址累積,待達特定金額以上就迅速轉移,透過混幣後售出。
下圖為UnblockAnalysis就其中一個地址分析後的金流資訊圖:
鎖定地址(TargetAddress):1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(A)1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9
(B)1BSZ6QW3kr2Cz8noutJo1hoa8sNybT4n25
(C)34wvFXLBe55BKV1YiKNQz1m2Fk2maJ4TZo
(D)bc1qkr8gy0edcwwp2d3zdhtcf3gam42s9uvm4yx6sj
以上(A)為鎖定地址,(B)、(C)及(D)為流向地址,在2019年12月6日當天,資金從(A)轉帳到(B)、(B)轉帳到(C)、再由(C)轉帳到(D),90分鐘內完成資金轉移,如此的資金流觸發了疑似「白手套(仲介)」的交易行為,更加確信駭客擁有該鎖定地址的私鑰,當資金進到錢包時隨即將資金移轉走。
最後,如果您個人或公司的錢包系統是採用上述程式碼產生私鑰的,也請您即刻檢視亂數產生的流程,請務必遵守以下三項原則:
注意生成私鑰時隨機亂數的取得方式,亂數必須符合NIST標準。
產生私鑰的種子長度至少要達到256bits。
產生私鑰的過程中,如有任何錯誤發生必須馬上中止,以避免生成「亂度不足」的私鑰。
📍相關報導📍
資安專欄|你的加密貨幣資產「保險」了嗎?判斷交易所安不安全,有兩種簡單方法
資安專欄|冰山之下的危局:統整DeFi現存的金融危機與挑戰
別管Coinbase!託管機構早把「你的交易資料」交給老大哥!從交易所轉到冷錢包也一樣
讓動區Telegram新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE與Messenger不定期為大家服務
分享此文:按一下以分享至Facebook(在新視窗中開啟)按一下以分享到Telegram(在新視窗中開啟)分享到Twitter(在新視窗中開啟)分享到LinkedIn(在新視窗中開啟)
相關新聞
Tags:加密貨幣錢包私鑰紙錢包資產安全
熱門文章
馬斯克Starlink抵烏!烏克蘭國防部提議:俄羅斯士兵「投降可獲5萬美元比特幣」
731shares
Share292
Tweet183
最強停車NFT誕生?!嘟嘟房發行汽車元宇宙NFT,最大賦能200個享終身免費停車
1400shares
Share560
Tweet350
資深交易員:美股、加密貨幣「第5浪」漲勢將至;比特幣巨鯨交易創月新高
436shares
Share174
Tweet109
最新文章
觀點|烏俄衝突,俄羅斯這一戰到底要花多少錢?
2022-03-04
烏克蘭副總理:決定取消空投!改推NFT支持烏國軍隊;馬克宏警告最糟時刻將至、談判後開人道走廊
2022-03-04
「世界上第一次加密貨幣戰爭」-談歷史進程中的烏克蘭加密戰事
2022-03-03
關於我們
動區動趨 為您帶來最即時最全面 區塊鏈世界脈動剖析 之動感新聞站
主題分類主題分類
選取分類
#2021新年特輯 (5)
2019台灣區塊鏈產業指南 (14)
2020台灣區塊鏈產業年鑑 (9)
ABS2018專題報導 (4)
Libra (13)
Uncategorized (60)
Web3.0 (4)
人物專訪 (72)
元宇宙 (159)
加密貨幣市場 (4,647)
ICO (90)
交易所 (1,406)
創投 (133)
市場分析 (1,287)
投資分析 (272)
穩定幣 (81)
區塊鏈商業應用 (4,586)
AI (12)
Cefi (17)
dao (5)
dApps (87)
defi (855)
nft (607)
供應鏈 (99)
保險 (29)
債券 (14)
區塊鏈平台 (331)
娛樂平台 (93)
安全 (185)
挖礦 (426)
支付 (541)
數位產權 (57)
物聯網 (36)
環境永續 (28)
社交 (113)
能源 (27)
身份驗證 (55)
遊戲 (163)
金融市場 (953)
銀行 (253)
錢包 (191)
區塊鏈新手教學 (156)
區塊鏈活動 (101)
即時新聞 (1,447)
國際組織報告 (11)
專欄作者 (564)
100天區塊鏈挑戰 (2)
EOSinsights (3)
JiaJia (9)
區鍵禧 (3)
哈希派 (4)
巴拉區塊事 (6)
比特彭 (5)
汪彪 (9)
財金哥&區塊妹 (5)
鄧庶杭 (7)
技術 (2,095)
EOS (24)
以太坊 (587)
其他幣別 (380)
分散式帳本技術 (65)
比特幣 (960)
瑞波 (79)
推薦閱讀 (1)
數據報告 (2,322)
中國 (350)
亞太 (164)
其他國家 (200)
台灣 (217)
政府報告 (43)
歐洲 (148)
私人機構報告 (210)
美國 (1,015)
概念 (46)
法規 (1,958)
央行 (386)
犯罪 (559)
稅務 (92)
管制 (887)
灰度 (13)
獨立觀點 (576)
肺炎 (33)
訴訟 (34)
評級報告 (13)
訂閱我們的最新消息動區精選-為您整理一週間的國際動態
Leavethisfieldemptyifyou'rehuman:
關於BlockTempo
動區動趨BlockTempo©AllRightsReserved.
NoResult
ViewAllResult
新手特輯:比特幣超完整懶人包
市場脈動
商業應用
區塊鏈技術
數據洞察
政府法規
動區動趨BlockTempo©AllRightsReserved.
WelcomeBack!Logintoyouraccountbelow
ForgottenPassword?
CreateNewAccount!Filltheformsbelowtoregister
Allfieldsarerequired.
LogIn
Retrieveyourpassword
Pleaseenteryourusernameoremailaddresstoresetyourpassword.
LogIn
AddNewPlaylist
-SelectVisibility-PublicPrivate
載入迴響中...
發表迴響…
電子郵件(必要)
名稱(必要)
網站
延伸文章資訊
- 15款最佳紙錢包
各種各樣的存儲庫使您不必再做任何事情,但是現在紙錢包加密貨幣已成為最可靠的選擇 ... 日拍攝的插圖圖片中可以看到帶有QR碼的比特幣(虛擬貨幣)紙錢包和一個硬幣。
- 2加密幣放冷錢包,不如放紙錢包安全!搞丟私鑰 - 風傳媒
加密幣放在哪裡最安全?許多人會說冷錢包。冷錢包又稱:去中心化錢包,就是任何人都可以生成無限個加密幣錢包,所有過程不記名、無Email或電話註冊, ...
- 3你的「紙錢包」可能不安全!私鑰盜竊問題叢生,資安新創 ...
在加密貨幣的世界裡,錢包所對應的「私鑰」就相當於該錢包所儲存的資產,是唯一可以動用錢包內資金的令牌,若私鑰生成或管理不善將造成極大的資安 ...
- 4什麼是加密貨幣錢包?
紙錢包是一張紙,以QR 碼的形式印出加密地址及其私鑰。這個QR 碼可以經由掃描的方式來進行加密貨幣交易。 某些紙錢包網站允許您下載他們的代碼,並以 ...
- 5熱錢包、冷錢包差在哪?最安全的加密貨幣錢包是哪一種?
加密貨幣錢包(Cryptocurrency Wallet)是用來儲存、發送、接收加密貨幣的數位錢包,如果沒有錢包就不能用來接收虛擬貨幣,這個概念有點像是銀行帳戶與貨幣 ...