以太坊:?以太坊私鑰不夠隨機，黑客破解私鑰進行盜幣

Odaily星球日報出品作者|秦曉峰編輯|盧曉明

據securityevaluators消息，獨立安全評估機構(ISE)近日發布了一份名為Ethercombing的新研究，該研究主要針對以太坊錢包私鑰的安全性。ISE發現，目前在以太坊區塊鏈上有732個私鑰由于隨機性不高，存在被盜風險。此外，自去年開始，一個名為“Blockchainbandit”黑客組織便通過低安全性的私鑰進行盜幣活動，一度達到37926個ETH。直到今天，該組織仍未停手。私鑰隨機性不高

以太坊公鑰和地址的生成依賴私鑰，有了私鑰就能生成公鑰和地址，就能夠花費對應地址上面的以太幣。而私鑰本質上是一個隨機數，由32個byte組成的數組，1個byte等于8位二進制，一個二進制只有兩個值：0或者1。所以私鑰的總數是將近2^(8*32)=2^256個，破解私鑰的概率是1/2^256。ISE研究員AdrianBednarek表示，雖有理論上還是存在概率，但實際上想要強行破解私鑰的是不可能的。即使我們使用的計算資源可以讓我們每秒產生100萬億個密鑰，也需要大約幾年的時間，實際上我們根本沒有這樣的計算資源。不過，ISE卻在實驗中發現，由于一些生成私鑰的錢包軟件編碼存在錯誤，導致產生的私鑰隨機性不高，容易被計算機暴力破解。ISE舉例說，本來一個256位的私鑰應該是：0x47579DA2BEA463533DBFAD6FCF8E90876C2FE9760DC1162ACC4059EE37BDDB5C由于代碼存在問題，私鑰的完整性在輸出時被截斷為32位，產生結果如下：0x0000000000000000000000000000000000000000000000000000000037BDDB5C對于計算機而言，破解32位的私鑰難度遠遠低于破解256位的私鑰難度。除了錢包編碼錯誤，內存參考問題、內存損壞、隨機設備錯誤、隨機種子重復使用、對象混淆、堆棧損壞、輸入混淆、熵錯誤、堆損壞或未檢查的預編譯編碼錯誤都可能導致私鑰不夠隨機，安全性降低。ISE研究人員在實驗中發現，目前以太坊區塊鏈上共有732個私鑰隨機性不強，存在泄漏風險；當前這些私鑰仍出于活躍狀態，并與鏈上的49,060筆交易相關聯。為了測試所發現的低安全性私鑰，ISE研究人員向其中一個地址轉入了價值1美元的ETH，結果幾秒鐘后這筆Token便被轉走。ISE跟蹤發現，Token最終流向了一個名為“Blockchainbandit”的黑客組織錢包。該組織從2018年1月起便開始盜竊一些安全性較弱的私鑰，最高峰時該地址余額達到37,926個ETH的余額，當時價值5400萬美元。直到今天，該組織仍未停手。以太坊本身沒有問題

Lucky Bird即將上線Gate.io交易所:據官方消息，根據Gate交易所官方消息顯示，Lucky Bird的經濟代幣BIRD將于2023年8月1日上線Gate.io交易所，BIRD總發行量為7600萬枚，初始流通量為300萬枚，BIRD上線Gate交易所之前，將開始Startup搶購活動，用戶可免費瓜分20000枚BIRD。[2023/6/20 21:49:58]

私鑰出現問題，是不是意味著以太坊區塊鏈本身技術存在漏洞？以太坊研究人員胡靖宇向Odaily星球日報表示，目前出現的低安全性私鑰，主要是錢包的問題，和以太坊本身沒有關系。以太坊核心開發者陳昶吾也認為以太坊本身的算法并沒有問題。陳昶吾補充說，除了隨機數，簽名過程中要用到的K值也會影響私鑰的安全性。“產生簽名的過程中會用到一個秘密的K值，目前BTC和ETH都用RFC6979產生這個值，這個K值必須隨機且唯一。但一些對密碼學算法編程不夠熟悉的程序員很可能會忽視這些細節，導致私鑰外泄。”在報告最后，ISE也向開發人員和用戶給出了建議：針對開發人員：使用比較知名的庫或特定平臺的模塊生成隨機數；使用加密安全的偽隨機數生成器；審計源代碼和生成的編譯代碼，以驗證隨機生成的密鑰不會被截斷；使用多個熵源；利用AMD/Intel提供的NIST兼容硬件隨機數生成指令*查看有關加密隨機數生成的NIST/FIPS指南審查并使用NIST統計測試套件(NISTSP800-22)針對使用錢包的用戶：不要使用可能獲取私鑰的不可信軟件；私鑰應該是完全隨機的，因此使用可信的軟件和硬件錢包生成私鑰；不要生成基于某種密碼的私鑰，因為更容易被破解。此前，私鑰總被認為是不可攻破的，但從目前的情況來看，堅固的堡壘卻先從內部瓦解。另外，根據IBM研究中心的負責人ArvindKrishna所言，量子計算機可分分鐘破解如今最強大的安全技術保護的加密敏感數據，包括私鑰。

Frax Finance將推出以太坊流動性質押產品:10月17日消息，混合算法穩定幣協議Frax Finance將在兩周內上線以太坊流動性質押產品，該產品將允許用戶質押以太坊并獲得流動性質押代幣frx ETH，但如果需要獲取以太坊質押收益，則需要將frx ETH質押為sfrx ETH。目前Frax Finance正在對該產品進行安全審計。（The Block）[2022/10/17 17:29:26]

ENS域名24小時交易額超110萬美元，OpenSea站內排名第2:7月25日消息，據NFTGo.io數據顯示，ENS域名24小時交易額為117.45萬美元，增幅363.32%。OpenSea站內24小時交易額排名第2。[2022/7/25 2:35:22]

“discord.eth”ENS域名在OpenSea以32 ETH價格成交:6月4日消息，據 OpenSea 數據顯示，“discord.eth” ENS 域名于今日以 32 ETH 價格成交。[2022/6/5 4:02:49]

Tags：以太坊ETHISEENS以太坊交易是什么togetherbnb游戲解說moonrise幣騙局ens幣是下一個百倍幣嗎

MANA