imToken 钱包安全月报 7 期:什么会影响你的私钥安全?
来源:    发布时间: 2023-12-28 17:39   48 次浏览   大小:  16px  14px  12px
2022 年 9 月 20 日,加密做市商 Wintermute 遭 DeFi 黑客攻击损失 1.6 亿美元。

2022 年 9 月 20 日,加密做市商 Wintermute 遭 DeFi 黑客攻击损失 1.6 亿美元。

据悉,Wintermute 的被盗地址疑似由 Profanity 工具生成,而该工具早在 2022 年 1 月已有安全研究者确认其生成私钥的随机性存在安全缺陷。从第三方安全公司报告得知,黑客也正是利用这个安全缺陷暴力破解了 Wintermute 的私钥进行资产转移。 

请注意,如果你的钱包是用 Profanity 工具生成的,请尽快转移资产至安全的钱包。

为什么随机性会影响私钥的安全?

私钥本质上来说,就是一串由 256 个 0 和 1 组成的随机数,共有 2^256 种组合。就好比你抛硬币,将正面朝上记为 1,反面朝上记为 0,抛一次硬币都有 2^1 种可能性:0 或 1。抛两次硬币就有 2^种可能性:00,01,10,11。那么抛 256 次,就一共会有 2^256 种可能

2^256 是一个近乎无限大的数字,即便是以目前算力最强大的超级计算机来暴力破解找到某一个特定的私钥,可能性也无限接近于 0,但如果一些生成私钥的工具算法存在缺陷导致随机性不够,如上文提到的 Profanity,就会使私钥的随机性大大降低,增加黑客暴力破解的概率,从而威胁私钥的安全。

因此在管理数字资产时,所使用的私钥是否足够随机非常重要。那么 imToken 是如何确保随机性的呢?

imToken 如何确保随机性?

为了确保足够的随机性,imToken 在 Android 和 iOS 系统使用的都是系统提供的随机数生成器。比如 iOS 的熵(可以理解为随机数)来源是一段时间内系统发生的事件统计由于系统的内核状态是实时不同的所以私钥的随机性有充分的保障

imToken 一直在行动

屏蔽 TRX 钱包域名名称代币

9 月初,有用户反馈 TRX 钱包内收到了若干域名名称代币,例如:365haxi.com。骗子利用这些代币来诱导用户进入对应的域名网址,并通过恶意授权获取用户的代币转账权限,从而盗取用户的资产。

imToken 联合 Tronscan 风控部门针对 TRX 钱包中的此类代币,建立了一套完善的屏蔽流程,提交并屏蔽了 370 个域名名称代币,一方面提升了 TRX 钱包页面的整洁度,另一方面避免用户点击进入对应钓鱼网站从而损失资产。安全警示|相同尾号地址骗局

你是否也有转账时,复制交易记录中过往地址的习惯?近期,骗子利用用户的这个习惯,生成相同尾号的地址作为伪装地址,并利用伪装地址向用户小额转账,使得骗子的地址出现在用户的交易记录中。

例如下图:用户经常转账的地址为「TUahsb…JjXyp3」,伪装地址为「TSeqQh…sjXyp3」,它们有相同的尾号「jXyp3」。


若用户从交易记录中复制地址进行转账时,只核对了尾号,则很容易错误复制成骗子的伪装地址,不小心转账后就会造成资产损失。、

imToken 团队在此提醒大家:由于区块链技术不可篡改的特性,链上转账一旦成功,则无法进行取消、撤回等操作,所以转账前请务必仔细核对地址!

安全风控

九月份,imToken 共标记风险代币 25 个;封禁风险 DApp 网站 445 个;标记风险地址 600 个。

详见风控数据

另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。

最后

安全真的是一个非常广泛的话题,专业如私钥随机性,日常如转账习惯,稍有不慎就有可能导致资产的损失。那普通用户能做什么呢?我想,应该是持续的学习安全知识和时刻具备防范的意识。imToken 会持续输出安全内容,传递给更多的用户,用时间和坚持抹平信息差。