2022 年 9 月 20 日,加密做市商 Wintermute 遭 DeFi 黑客攻擊損失 1.6 億美元。
據悉,Wintermute 的被盜地址疑似由 Profanity 工俱生成,而該工具早在 2022 年 1 月已有安全研究者確認其生成私鑰的隨機性存在安全缺陷。從第三方安全公司報告得知,黑客也正是利用這個安全缺陷暴力破解了 Wintermute 的私鑰進行代幣轉移。
請注意,如果你的錢包是用 Profanity 工俱生成的,請盡快轉移代幣至安全的錢包。
為什麼隨機性會影響私鑰的安全?
私鑰本質上來說,就是一串由 256 個 0 和 1 組成的隨機數,共有 2^256 種組合。就好比你拋硬幣,將正面朝上記為 1,反面朝上記為 0,拋一次硬幣都有 2^1 種可能性:0 或 1。拋兩次硬幣就有 2^2 種可能性:00,01,10,11。那麼拋 256 次,就一共會有 2^256 種可能。
2^256 是一個近乎無限大的數字,即便是以目前算力最強大的超級計算機來暴力破解找到某一個特定的私鑰,可能性也無限接近於 0,但如果一些生成私鑰的工具算法存在缺陷導致隨機性不夠,如上文提到的 Profanity,就會使私鑰的隨機性大大降低,增加黑客暴力破解的概率,從而威脅私鑰的安全。
因此在存取和使用你的鏈上代幣時,所使用的私鑰是否足夠隨機非常重要。那麼 imToken 是如何確保隨機性的呢?
imToken 如何確保隨機性?
為了確保足夠的隨機性,imToken 在 Android 和 iOS 系統使用的都是系統提供的隨機數生成器。比如 iOS 的熵(可以理解為隨機數)來源是一段時間內系統發生的事件統計。由於系統的內核狀態是實時不同的,所以私鑰的隨機性有充分的保障。
imToken 一直在行動
屏蔽 TRX 錢包域名名稱代幣
9 月初,有用戶反饋 TRX 錢包內收到了若干域名名稱代幣,例如:365haxi.com。騙子利用這些代幣來誘導用戶進入對應的域名網址,並通過惡意授權獲取用戶的代幣轉賬權限,從而盜取用戶的代幣。
imToken 聯合 Tronscan 風控部門針對 TRX 錢包中的此類代幣,建立了一套完善的屏蔽流程,提交並屏蔽了 370 個域名名稱代幣,一方面提升了 TRX 錢包頁面的整潔度,另一方面避免用戶點擊進入對應釣魚網站從而損失代幣。
安全警示|相同尾號地址騙局
你是否也有轉賬時,複製交易記錄中過往地址的習慣?近期,騙子利用用戶的這個習慣,生成相同尾號的地址作為偽裝地址,並利用偽裝地址向用戶小額轉賬,使得騙子的地址出現在用戶的交易記錄中。
例如下圖:用戶經常轉賬的地址為「TUahsb…JjXyp3」,偽裝地址為「TSeqQh…sjXyp3」,它們有相同的尾號「jXyp3」。
若用戶從交易記錄中復制地址進行轉賬時,只核對了尾號,則很容易錯誤複製成騙子的偽裝地址,不小心轉賬後就會造成代幣損失。
imToken 團隊在此提醒大家:由於區塊鏈技術不可篡改的特性,鏈上轉賬一旦成功,則無法進行取消、撤回等操作,所以轉賬前請務必仔細核對地址!
安全風控
九月份,imToken 共標記風險代幣 25 個;封禁風險 DApp 網站 445 個;標記風險地址 600 個。
詳見風控數據
另外,如果你發現了疑似風險的代幣或者 DApp,請及時反饋給我們:support@token.im,幫助更多用戶避免代幣損失。
最後
安全真的是一個非常廣泛的話題,專業如私鑰隨機性,日常如轉賬習慣,稍有不慎就有可能導致代幣的損失。那普通用戶能做什麼呢?我想,應該是持續的學習安全知識和時刻具備防範的意識。 imToken 會持續輸出安全內容,傳遞給更多的用戶,用時間和堅持抹平信息差。