更多精彩 >

几乎所有钱包都有致命漏洞,黑客接触手机2分钟,就能转走币

2018-07-23 09:50:28   来源:一本财经  作者:比萨 

摘要:随着钱包热兴起,很多新厂商加入这一战场,但它们对安全的理解往往不到位。这大大增加了安全隐患。

冷钱包,又称硬件钱包。


相当于把私钥存在一个芯片上,不联网,被视为“绝对安全”的存储币的方式。


这里一度成为区块链世界的最后一片安全净土。


而最近,几乎所有的硬件钱包,都被破解。


黑客只需要接触手机两分钟,不管你是否屏蔽,就可以轻易转走所有的币。


随着钱包热兴起,很多新厂商加入这一战场,但它们对安全的理解往往不到位。这大大增加了安全隐患。


冷钱包还值得信赖吗?


区块链的世界,到底是否存在绝对的安全?


01 不安全的钱包


你知道吗?其实大部分的钱包,都可以被破解。


包括冷钱包。


大数据安全公司知道创宇先进技术部总监胡铭德告诉一本区块链记者,他所在的团队,就通过技术手段,当众破解了两个国内外知名的硬件钱包。


第一个,是在今年年初获得8000万美金融资的法国Ledger钱包。


“Ledger钱包在设计上有一个安全芯片和一个非安全芯片,我们通过强制升级非安全芯片的方式,在不拆除外壳的前提下,就能一步步取得钱包的PIN码。”胡铭德说。


PIN码相当于钱包的密码,有了它,就可以打开钱包,把钱转走。


除了Ledger,知道创宇团队还发现,其实大部分基于手机平台(MTK)的比特币钱包,都可以被破解。


“几乎所有手机上的钱包,都能破解。”胡铭德称,不管是手机APP的软钱包,还是硬钱包。


比如,他们在对国内多款MTK钱包进行测试时发现,通过导出钱包固件,不仅可以看到多个币种的缓存信息,还可以找到生成助记词的各种库。


胡铭德指出,这是一个很通用的USB漏洞。黑客可以很轻松地植入恶意软件,盗走交易口令和私钥信息。


“只要接触手机2分钟,黑客就能搞出数据,不管你是否有屏蔽保护口令。”胡铭德称这个漏洞,极其严重。


在他看来,这才是最危险的——包括小米、魅族在内的大部分国产手机品牌的中低档机,“都用的是MTK芯片方案”。


这就意味着,绝大多数硬钱包和软钱包,都不安全。


02 冷钱包


保守估计,现在市面上有上百家厂商的钱包产品。它们可分为两类,一类是软件钱包,一类是硬件钱包,即冷钱包。


软件钱包大家好理解,即手机下载的钱包APP,可直接使用。


但硬件钱包是什么?


比特币是存在区块链上的,而私钥,是你拥有和有权管理比特币的证明。


硬件钱包的工作原理,就是将私钥存在一个芯片上,与网络隔离,即插即用。它的外形,有点像U盘。


在业内,硬件钱包被普遍认为是最安全的数字货币存储手段。人们的理由主要有三点:


硬件钱包中的私钥不能被导出。因为不联网,杜绝了黑客攻击。


易备份。设备在初始化配置时会生成助记词,作为私钥的备份,当你的设备丢失或损坏以后,可以购买新的设备,然后通过助记词来恢复私钥。


可实现多币种同时管理——绝大多数的硬件钱包,除了管理比特币,还可以管理莱特币、以太坊、比特现金等数字货币。


目前,国内人气较高的硬件钱包产品,像Ledger Nano S、Trezor、KeepKey 等 ,基本都来自国外,价格在1000元左右。


而因为看好这一领域,很多国内外区块链创业者,都在打造更多的硬件钱包。


“但是,其中大多数厂家对安全理解不到位,导致了很多设计架构问题。”胡铭德告诉一本区块链记者。


交易所被大量盗币、软件钱包不时失窃,硬件钱包,因此被视为最后一道护城河。


这道护城河一旦失守,意味着什么?


事实上,硬件钱包不是第一次被破解,也不会是最后一次被破解。


2017年,在美国拉斯维加斯举行的世界黑客大会DEF CON 25上,国外某安全团队,就向观众演示了如何破解比特币硬件钱包。


其中就包括最古老的比特币钱包Trezor。


Trezor使用了STMicroelectronics(意法半导体)生产的非安全芯片。黑客在拿到Trezor后,通过拆除其外壳,就可以利用漏洞,转走比特币。


这个过程最快只需要15秒。


也是在2017年,一个名为“ Large Bitcoin Collider”的组织,组织黑客暴力破解比特币硬件钱包。Large Bitcoin Collider这个名字,就是直接取自欧洲粒子物理研究所的大型强子对撞机的名字,意为用强大的计算能力,去猜出钱包的密钥。


该组织将破解过程称为“挖宝”:一旦成功,钱包内的比特币,将由参与者共同分享。


在近8个月的尝试中,Large Bitcoin Collider生成了3000万亿条密钥,其中有十多个钱包的密钥被“猜对了”,钱包被打开,其中三个钱包内装有比特币。


在成功地分享了这三个钱包中的比特币后,暴力破解行为结束了。


Large Bitcoin Collider称,对他们来说,重要的并不是盗取比特币,也不是让比特币消亡,而是对新的比特币算法进行可能的尝试。


据悉,在未来的量子计算机出现后,生成30000亿条密钥,可能只需要8个小时。光是想想这个,都让人不寒而栗。


03 安全无绝对?


在区块链的世界里,绝对的安全,存在吗?


如前文证明了的,硬件钱包,就不存在绝对的安全。


那么,“代码即法律”的智能合约,又安全吗?


设想一下,你签了一个合同,虽然这个合同是开源的,但是你并不能完全看懂这个合同。这就是大多数人对于智能合约的无奈。


虽然区块链技术能保证你的合同完全按照规则执行,但是合约层的代码漏洞,却不易被发现。


而开源,就意味着谁都能看。换句话说,你签了一个看不懂的合同,你身后的黑客,却能看懂。


于是,黑客就成了区块链世界的第一大威胁。


一旦智能合约的漏洞被黑客发现,他们就会发动攻击。这样的例子不胜枚举。


有数据显示,以太坊发展至今,黑客至少窃取了价值10亿美元的数字资产。


再来看PoW和PoS,它们安全吗?


区块链的本质在于建立多方信任,而落到技术上,就是处在区块链中间层的共识算法。


现在最主流的共识算法,一种是以比特币为代表的挖矿机制(PoW),另一种是投票机制(PoS)。


简单地说,PoW的机制是谁的算力大就信任谁,PoS的机制是谁的比特币多就信任谁。


理论上讲,某个人或群体拥有比特币网络51%的算力,或者具有支配51%算力的能力,就能对比特币网络发起攻击。


如果这一天真的降临,比特币体系将被摧毁,或者被垄断。


在全球比特币算力进一步集中化的今天,算力排行前四的矿池,已经拥有了超过54%的算力。


一旦它们联手,发动对比特币的51%攻击,不是不可能。


照此推论,得出的结论,可能是悲观的。


音符


区块链世界存在绝对的安全吗?


或许,我们可以换个角度,来思考这个问题。


安全永远不是绝对的,而是相对的。


真实的世界本来是一个熵增的过程,它会不断变化,不断出错。


而区块链的使命,则是延缓熵增的速度。


猜你喜欢

加密货币能否成为现有价值存储的可行替代品?

区块链加密货币

规模3620亿美元的银行业巨头摩根大通(JPMorgan Chase)预测,美国在2020年发生国经...

4小时前

区块链没有落地应用?不,这些人玩得很欢

资讯区块链落地应用

有很多人对“区块链”反感和质疑,一个原因是说了一年的区块链,到目前除了让投资者血本无归的消息,并没有...

4小时前

场外交易凭什么屹立不倒?

资讯区块链场外交易

自去年12月以来,BTC全球交易量随币价一起下降。有人对此倍感惶恐,交易量持续下降意味着“韭菜”减少...

4小时前

玉溪境界区块链卷烟只为防伪溯源,与发币无关

资讯区块链玉溪

假货、侵权问题一直是商业世界的毒瘤。

4小时前

什么区块链,统统是骗子

资讯区块链腾讯阿里

​有人问我,区块链现在这么火,到底是不是骗局?我的回答是:是骗局。而且我并不是说数字货币是骗...

4小时前

中文在线诉京东侵权一审:著作权起纠纷区块链取证

资讯区块链中文在线

东城法院在审理中,明确了如何对区块链电子存证的效力予以认定。

6天前

一个区块链项目的40种死法

资讯区块链死法

查理·芒格有一句名言,「如果我知道我将在哪里死去,我永远不去那个地方」,更是道出了研究失败的意义。

6天前

后比特币极端主义:为什么要支持货币竞争?

资讯比特币区块链

更多人参与挖掘比特币,网络变得更加安全,更多的投资者买入,更多的用户参与比特币交易,比特币也得到更多...

6天前

STO大爆发是通证经济学的福音还是区块链的末日?

资讯区块链STO

刚刚开始了解稳定币究竟能带给世界什么样的变化,STO便替代ICO成为了具有公信力的新型融资方式。

6天前

姚前:算法经济:资源配置的新机制 | 互联网金融

资讯区块链算法经济

本文沿用科斯新制度经济学的分析框架和思路,利用契约经济学研究了从传统经济到共享经济、加密经济等算法经...

6天前

美国对中国矿机加征25%关税,比特大陆矿机或遇阻?

资讯区块链关税

据南华早报报道,6月份,美国贸易代表办公室(office of The United States ...

6天前

借国务院批复海南自贸区东风 区块链能趁机起飞么?

资讯区块链火币区块链企业

10月16日,传闻已久的海南自贸区终于靴子落地。

6天前

链养殖,你听说过吗?

资讯区块链链养殖

2018年以来,区块链落地应用正在向广阔的行业发展,从最初的数字货币、金融,到后来向各行业领域进军,...

6天前

搞大事!上海蓝天经济城重磅推出区块链扶持政策

区块链

上海正在以前所未有的力度推动扶持区块链产业,上海嘉定蓝天经济城推出一系列重磅优惠扶持政策,蓝天经济城...

6天前

腾讯区块链业务总经理蔡弋戈:区块链具备四大潜力

资讯区块链腾讯区块链马化腾主席

9月21日,在2018国际数字经济博览会期间举办的国际区块链产业融合峰会上,腾讯区块链业务总经理蔡弋...

6天前

财链社(www.bcpress.com)专业的全球区块链财经媒体与社群,链接区块链、物联网、大数据、人工智能,致力于成为最有深度的区块链全产业链分析家,为区块链创业者及投资者提供最好的产品和服务。

链马思享会第四期:公信宝黄敏强,如何应对数据经济困局?

在信息安全问题日益严峻的今天,作为普通互联网用户,该如何保护自己的隐私?

INE智联生态COO白眉独家|区块链4321黄金投资法则

不是所有的区块链项目都在落地,INE智联生态一直在落地!——IntelliShare does ...

INE智联生态COO白眉独家|区块链4321黄金投资法则

不是所有的区块链项目都在落地,INE智联生态一直在落地!——IntelliShare does ...

马云:并不是数字化就会变得冷淡 技术让城市变得更暖

10月11日,杭州市打造全国数字经济第一城动员大会在浙江杭州云栖小镇国际会展中心举行。

央行姚前&孙浩:数字稳定代币的试验与启示

虚拟货币无法有效履行计价单位、交易媒介和价值储藏三大货币基本职能,客观上阻碍了其自身的应用进程。因此...

一起寻找“全球链改优秀项目”!

一起寻找“全球链改优秀项目”!

2018年9月10日,由中国通信工业协会区块链专业委员会、区块链改革全国联席会议作为指导,全球链改节...

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行

HelloEOS 区块链全国行活动“EOS 和他的朋友们”正在进行,第六站厦门将在本周六(9月8日)...

区动智慧,链接未来-区块链如何赋能实体经济

区动智慧,链接未来-区块链如何赋能实体经济

自区块链概念流入国内,吸引大量人才进入到这个行业,随着区块链掀起的火热风潮,它被视为本世纪最大的风口...

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

区块链峰会受监管政策屡屡叫停,920这场峰会却办得热火朝天

“2018国际数字经济博览会”将于9月20日-22日在石家庄国际会展中心隆重举办。本次峰会邀请到了诸...

嘉楠耘智推出7nm矿机新品,算力翻倍

嘉楠耘智推出7nm矿机新品,算力翻倍

据中关村在线消息,目前首批由台积电代工生产的7nm芯片已完成交货。