助記詞是明文私鑰的另一種表現形式,最早是由 BIP39 提案提出,其目的是為了幫助使用者記憶複雜的私鑰。 imToken 中創建的錢包助記詞由 12 個單字構成,這些單字都取自一個固定詞庫。已知BIP39 標準的助記詞庫一共有2048 個單詞,可以產生2^128 種的助記詞組合類型,助記詞由於其龐大的組合數、基於強密碼學的設計、有效的校驗機制等多方面,它的安全性是非常高的。
但有些用戶覺得助記詞也就 12 個單詞,誤以為用一些算力很強的機器應該能碰撞出來的,進而獲得錢包代幣的控制權。使用者對助記詞的認知不足讓一些不法分子看到了從中牟利的機會,謊稱自己開發出了一種能夠「碰撞」助記詞的工具,並透過各種管道兜售這種所謂的破解軟體。
小嚴是一位加密貨幣投資者,在推特上看到了一則推文廣告,聲稱有一款新開發的軟體可以快速「碰撞」助記詞,從而獲取破解的錢包地址裡面的代幣。這款軟體價格不菲,但推文中展示的各種「成功案例」讓小嚴感到心動。
(碰撞助记词的诈骗推文)
小嚴與賣家聯繫後,賣家向他免費提供了這款「助記詞碰撞工具」的試用版,但要完整使用需要支付高額費用。為了獲得小嚴的信任,賣家還提供了一些虛假的視頻,演示如何通過該工具成功「破解」某些錢包地址的助記詞。小嚴使用「助記詞碰撞工具」的試用版按影片步驟操作果然「破解」了一些錢包地址的助記詞,導入後發現裡面有少量的代幣。賣家解釋試用版的算力只能「碰撞」出少量資產的錢包地址助記詞,小嚴隨後支付了上千美元購買了這款軟體。
然而,支付後,小嚴收到的軟體根本無法使用,甚至在安裝時觸發了他電腦上的病毒防護警報。意識到可能受騙的小嚴再次聯絡賣家,卻發現對方已將他封鎖。他不僅損失了用於購買軟體的資金,電腦還被植入了惡意軟體,進一步威脅他的數位代幣安全。
騙局科普
從數學的角度來講,助記詞被碰撞的機率極低, BIP39 標準的助記詞庫中的 2048 個單字可以產生 2^128 種的助記詞組合類型。NVIDIA RTX 4090 是目前消費級市場上表現最強的顯卡,如果用一張 RTX4090 的顯卡來遍歷完所有的助記詞組合需要花費約 1.38×10^24 年,很顯然在我們有限的生命裡是等不到了。
但如果 12 個單字的助記詞組中有 8\9\10 個單字洩露了,使用顯卡的算力花費一定的時間是可以算出剩餘的某幾個單字的,所以只洩露部分助記詞也是存在風險的。
此外,助記詞或私鑰的安全性也與隨機性有關,如果產生助記詞或私鑰的工具演算法隨機性不夠,也會增加駭客暴力破解的機率,為了確保足夠的隨機性,imToken 在 Android 和 iOS 系統所使用的都是系統提供的隨機數產生器。例如 iOS 的熵(可以理解為隨機數)來源是指一段時間內系統發生的事件統計。由於系統的核心狀態是即時不同的,所以私鑰的隨機性和安全性有充分的保障。
imToken 安全團隊提醒:
- 將助記詞或私鑰保存在離線儲存介質,如硬體錢包或紙本備份,降低網路攻擊風險。
- 使用正規的錢包和助記詞產生工具,避免使用未知來源的應用程式或網站。
- 助記詞的生成具有極高的隨機性,碰撞成功的機率幾乎為零。
imToken 一直在行動
安全風控
八月份,imToken 共標記風險代幣 2891 個;封鎖風險 DApp 網站 606 個;標記風險地址 1414 個。詳見風控數據。
另外,如果你發現了疑似風險的代幣或 DApp,請及時回饋給我們:support@token.im,幫助更多用戶避免資產損失。
最後
詐騙手法層出不窮,對一般用戶來說,確實難以全面預防。imToken 致力於快速發現和找到解決方案,並向社群及時回饋和科普各種新型騙局,以降低用戶損失,全面提升用戶在加密貨幣領域的安全性,並努力建立一個可信賴的數位代幣管理生態系統。
我們誠摯邀請你閱讀並分享「imToken 錢包安全月報」,和 imToken 攜手,保護每一份代幣安全。