Odaily星球日報出品作者|秦曉峰編輯|盧曉明
據securityevaluators消息,獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究,該研究主要針對以太坊錢包私鑰的安全性。ISE發現,目前在以太坊區塊鏈上有732個私鑰由于隨機性不高,存在被盜風險。此外,自去年開始,一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動,一度達到37926個ETH。直到今天,該組織仍未停手。私鑰隨機性不高
以太坊公鑰和地址的生成依賴私鑰,有了私鑰就能生成公鑰和地址,就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數,由32個byte組成的數組,1個byte等于8位二進制,一個二進制只有兩個值:0或者1。所以私鑰的總數是將近2^(8*32)=2^256個,破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示,雖有理論上還是存在概率,但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰,也需要大約幾年的時間,實際上我們根本沒有這樣的計算資源。不過,ISE卻在實驗中發現,由于一些生成私鑰的錢包軟件編碼存在錯誤,導致產生的私鑰隨機性不高,容易被計算機暴力破解。ISE舉例說,本來一個256位的私鑰應該是:0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題,私鑰的完整性在輸出時被截斷為32位,產生結果如下:0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言,破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤,內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機,安全性降低。ISE研究人員在實驗中發現,目前以太坊區塊鏈上共有732個私鑰隨機性不強,存在泄漏風險;當前這些私鑰仍出于活躍狀態,并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰,ISE研究人員向其中一個地址轉入了價值1美元的ETH,結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現,Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰,最高峰時該地址余額達到37,926個ETH的余額,當時價值5400萬美元。直到今天,該組織仍未停手。以太坊本身沒有問題
Cetus Launchpad將于5月15日上線Suia(SUIA):5月11日消息,據官方公告,Cetus Launchpad 第二期上線項目為 Suia(SUIA)。Suia 是一個建立在 Sui 網絡上的社交 dApp,目前擁有超過 20 萬筆交易和 30 多萬用戶。[2023/5/12 14:58:23]
私鑰出現問題,是不是意味著以太坊區塊鏈本身技術存在漏洞?以太坊研究人員胡靖宇向Odaily星球日報表示,目前出現的低安全性私鑰,主要是錢包的問題,和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說,除了隨機數,簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值,目前BTC和ETH都用RFC6979產生這個值,這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節,導致私鑰外泄。”在報告最后,ISE也向開發人員和用戶給出了建議:針對開發人員:使用比較知名的庫或特定平臺的模塊生成隨機數;使用加密安全的偽隨機數生成器;審計源代碼和生成的編譯代碼,以驗證隨機生成的密鑰不會被截斷;使用多個熵源;利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶:不要使用可能獲取私鑰的不可信軟件;私鑰應該是完全隨機的,因此使用可信的軟件和硬件錢包生成私鑰;不要生成基于某種密碼的私鑰,因為更容易被破解。此前,私鑰總被認為是不可攻破的,但從目前的情況來看,堅固的堡壘卻先從內部瓦解。另外,根據IBM研究中心的負責人ArvindKrishna所言,量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據,包括私鑰。
美聯儲11月加息75個基點概率降至88.5%:10月28日消息,據CME“美聯儲觀察”:美聯儲11月加息50個基點至3.50%-3.75%區間的概率為11.5%,加息75個基點的概率為88.5%,該數據兩天前觀測為97.2%。到12月累計加息100個基點的概率為7.1%,累計加息125個基點的概率為58.9%,累計加息150個基點的概率為34.1%。[2022/10/28 11:51:56]
歐易OKX上線APT,將于10月18日14:00開放充值:據官網消息,歐易上線Aptos(APT),將于10月18日14:00(HKT)開放APT充值,平臺在用戶充值數量符合開通交易的情況下第一時間上線交易,APT提現將于10月19日18:00(HKT)開放。
Aptos是Layer1公鏈項目,其目標是建設一個可擴展、安全、可信任和可升級的智能合約平臺。Aptos團隊從前Meta(前Facebook)獨立出來,曾參與開發過穩定幣項目Libra(后改名為Diem)。APT為Aptos主鏈的原生代幣。[2022/10/18 17:30:20]
Sky Mavis聯創:Axie Infinity打算在韓國市場“加倍押注”:8月9日消息,Axie Infinity背后公司Sky Mavis表示,盡管存在監管障礙,該公司仍希望在韓國市場“加倍押注”,并提高用戶采用。
在8月9日(當地時間)舉行的韓國區塊鏈周上,Sky Mavis聯合創始人兼增長主管Jeffrey Zirlin在接受采訪時表示,盡管韓國仍然禁止P2E游戲,但“韓國市場是世界上最重要的游戲市場之一,我們在韓國擁有大量玩家。”
Zirlin補充道,該公司目前正在尋找讓Axie Infinity適合韓國玩家的方法:“我們想要加倍押注。我們想要本土化,例如,韓國人不怎么說英語,所以要將游戲真正交到韓國玩家手中還存在許多障礙。”(Cointelegraph)[2022/8/9 12:12:12]
現在很多公司都在開發自己的公鏈。創業團隊在開發公鏈,一些加密數字貨幣交易所也在開發公鏈。我曾經見過一個由三個年輕人組成的創業團隊,不僅開發了自己的公鏈,而且還提出了一個新的共識算法.
1900/1/1 0:00:00導讀算力集中化顯然有違BTC創建的初衷,由此帶來的安全隱患也難以忽視。除了算力集中化的問題,PoW挖礦導致的巨大資源消耗和效率問題也使得算力挖礦飽受詬病,針對這些問題,新的共識機制開始出現.
1900/1/1 0:00:005月22日,彭博社的一篇文章引發了EOS社區的熱議。BB和BM兩位Block.One的靈魂人物相繼在Twitter和電報群中就此進行回應說明,并直面社區提問.
1900/1/1 0:00:00本文旨在探索去中心化的PoS網絡該如何利用生態中基礎層的閑置資產,并使自主支持自動化,哪怕只是部分支持.
1900/1/1 0:00:00文:覃雪元、余錫清編輯:王巧1969年,美國人瑞克·布羅米設計的游戲《太空大戰》誕生,第一次實現了互聯網的交互性,被譽為網絡游戲的始祖。1998年,移動設備開始興起,手游正式面市.
1900/1/1 0:00:00本周大事記 本周EOS價格周內漲幅達7.55%,市值維持第6位;隨著eosio.saving賬戶中3400萬EOS被銷毀.
1900/1/1 0:00:00