前言
2016 年 8 月,我以 iOS 開發者的身份加入 imToken 團隊,現在負責 imToken 的產品運營工作。在這之前,我對區塊鏈涉及到的密碼學內容,如算法推導、公私鑰對、橢圓曲線加密等知之甚少。我依然記得那種「偏見」帶來的痛苦感覺,而這「偏見」源自於傳統互聯網賦予的慣性思維。
什麼是助記詞、私鑰、Keystore?
為什麼丟失私鑰就丟失了一切?
知道地址和密碼為什麼不能找回賬戶?
什麼是備份?不可逆?匿名性? … …
雖然我現在已經了解了錢包原理,但相比之下,我更理解這項技術給小白用戶帶來的困擾,並一直致力於普及去中心化錢包知識,盡可能幫助那些資產遭受損失的用戶。該系列文章以故事性為主,大家可以在茶餘飯後慢慢閱讀,希望這些案件可以「敲醒」那些恬不在意的錢包用戶,妥善管理自己的財產。
第一起案件
大約在 2017 年6月份,我接手了第一起盜幣案件,向我求助的用戶算幣圈早期的投資人。梳理後的對話內容如下:
曉婷(化名):我有兩部手機,之前通過 iPhone 手機下載使用 imToken, 但是因為更新太麻煩了,就換了另一部 Android 手機。昨天我通過 QQ 郵箱將私鑰通過郵件發送過去,然後直接導入了新的設備,就將這封郵件刪除了。然後今天中午我打開 imToken 時候,就發現所有資產被盜了,所有的幣都價值不菲,你可不可以幫幫我?
我:你是直接發送的明文私鑰嗎?
曉婷:是 Keystore。
我:Keystore 密碼呢?和郵件密碼是否一致?有沒有和 Keystore 一起管理?
曉婷:當然沒有,這點安全意識我還是有的。密碼沒有和 Keystore 放在一起,密碼不是常用的... …
我:我覺得還是郵件傳輸私鑰導致你資產被盜的概率較大,你再仔細回想一下 Keystore 密碼和郵箱密碼的關聯性。
曉婷:Keystore 密碼雖然和郵箱密碼不一樣,但是有較強的關聯性。
很遺憾,由於第一次處理盜幣案件,經驗不足,沒能很好的分析資產流向,所以成了「懸案」。即便如此,我也可以大概率肯定是「郵箱」出賣了她的私鑰,由於 Keystore 密碼和 QQ 密碼的相關性,黑客極容易「暴力破解」,所謂「暴力破解」是一種密碼分析的方法,即將密碼進行逐個推算,直到找出真正的密碼為止。
比如「曉婷」的 QQ 密碼為 xiaoting666 而 Keystore 密碼為 xiaoting888,那麼黑客很快就可以通過密碼碰撞,通過 xiaoting666 推導出 xiaoting888。
針對密碼安全這一點,imToken 要求員工統一使用 1password 作為密碼管理工具,生成高強度的隨機密碼,避免使用和身份相關的密碼或短密碼,從而造成安全隱患。
這起案件只是開啟我新身份的開始,使我從一個開發者,逐漸變成了「柯南」。在這之後,我處理了上百起丟幣盜幣案件,勘察過五花八門的盜幣手法,也經歷過啼笑皆非的盜幣事件。這一系列故事的真正開局是在 2017 年 9 月 4 日之後,我將在後續的連載中,向你娓娓道來。
(未完待續……)