如何用2个签名破解你的Dark Skippy硬件钱包私钥?如何避免被攻击?
8 月 9 日,最新报告显示,安全研究人员发现了一种名为「Dark Skippy」的新的攻击机制,黑客可以使用该方法从仅具有两个签名交易的比特币硬件钱包中提取私钥。该漏洞可能影响所有硬件钱包型号,但只有受害者被诱骗下载恶意固件时才会起作用。「Dark Skippy」的此前版本需要数十笔交易才可发挥作用,新版本的「Dark Skippy」仅需要几笔交易也可以执行。此外,即使用户依赖单独设备生成助记词,也可以执行攻击。该披露报告由 Lloyd Fournier、Nick Farrow 和 Robin Linus 发布。Fournier 和 Farrow 是硬件钱包制造商 Frostsnap 的联创,而 Linus 是比特币协议 ZeroSync 和 BitVM 的联合开发者。
如何用2个签名破解你的硬件钱包私钥?如何避免被攻击?近期,海外加密安全圈炸锅了!又一个改进的硬件钱包破解手段被披露,速度更快、效率更高。难道黑客和白帽们也在搞“奥运”?今天脚本之家小编给大家分享一篇OneKey给大家带来的黑客是如何破解硬件钱包的?作者将用尽量简单的语言为你解释这一切。大家一起看看吧!
1. 黑客是如何破解硬件钱包的?
刷入恶意固件:攻击者将恶意固件刷到你的硬件钱包上。
发送交易:黑客使用这个带有恶意固件的硬件钱包发送比特币交易。恶意固件会将你的助记词通过低随机性签名的方式“嵌入”到这笔交易中,而这笔交易会公开存储在区块链上。
提取助记词:攻击者在区块链上找到你的交易,运行特殊算法,从中提取出你的比特币助记词。
盗取比特币:拿到助记词后,攻击者就能访问并盗走你的比特币。
2. 这个攻击算法的原理是什么?
要理解这个算法,你需要对 BTC 转账有些了解。如果你不是那种爱刨根问底的好奇宝宝,可以直接跳到下一部分,了解如何避免被攻击。
在进行比特币转账前,你需要准备交易数据,包括交易的输入(即你要花费的比特币来源)和输出(你要将比特币转到哪里)。随后,通过哈希算法计算出消息哈希值,这是需要签名的数据摘要,可理解为“浓缩的交易数据”。
关键步骤:签名
接下来是重头戏:你需要对这个交易数据进行签名。以椭圆曲线数字签名算法(ECDSA)为例,你需要结合一个内部随机数 k 来生成签名结果。
随机数 k 的引入是为了确保每次签名的唯一性和安全性。如果每次使用相同的随机数 k,即便你签署的消息(交易)不同,生成的签名可能会出现规律,从而被攻击者通过数学分析破解你的私钥。
因此,每次都使用一个不可预测的随机数 k,可以确保每次生成的签名都是独一无二的,即使对同一个消息进行多次签名,结果也会不同。
最后,矿工会验证并将交易打包广播到区块链。
黑客如何利用弱随机数攻击?
虽然无法直接从加密芯片上读取私钥,但如果黑客能修改你的固件里的随机算法,使随机数 k 不再随机,那么通过几次签名后,便可以通过链上广播的信息反推出你的私钥。
在 Dark Skippy 中,黑客将这个需求降低到只需 2 个签名(对于 12 个助记词)或 4 个签名(对于 24 个助记词)即可破解私钥。这比以往的方法更高效。
3. 如何避免被攻击?
这类攻击成功的关键在于:黑客成功拿到了用户的硬件钱包,并植入了恶意固件。
所以,建议采取以下防护措施:
1. 确保硬件钱包的安全
防供应链攻击:确保硬件钱包从出厂、运输直到你的手里,未被第三方碰过。现在多家硬件钱包品牌,包括 OneKey,都有多层防拆封设计,确保如果有拆封痕迹能够立即发现。
录像开箱:建议您从收到货开始全程录像开箱,作为售后依据。
保管好钱包:开始使用后,确保硬件钱包不会被他人接触,以防被恶意修改。
2. 确保固件代码的安全
从官网渠道下载更新:确保你从官方渠道下载固件更新。
做好校验工作:不同厂商的措施不一。以 OneKey 为例,我们的软件和硬件代码是开源的,并通过了知名安全机构的审计。OneKey 最新硬件采用多颗军工级保密 EAL 6+ 芯片,机器和 App 会自动校验固件,非官方固件的签名会被检测到并硬抹除助记词数据。
4. 总结
无论如何,如果硬件钱包一旦丢失或落入黑客手中,建议立即启用备份助记词,尽快转移资产,确保万无一失。相比助记词触网存储和钓鱼攻击,这个风险仍然较小。
以上就是脚本之家小编给大家分享的如何用2个签名破解你的Dark Skippy硬件钱包私钥?如何避免被攻击的详细解读了,希望大家喜欢!
你可能感兴趣的文章
-
如何选择和使用冷钱包?硬件钱包推荐
由于各种原因由此造成加密货币资产丢失,交易所跑路、钱包监守自盗都容易导致资产丢失,所以人们对冷钱包的需求急剧增加,想通过冷钱包保管加密资产,然而,市场上有许多不同…
2024-06-29 -
2024年硬件钱包排行榜分享(靠谱的硬件钱包)
加密货币钱包是存储用户货币的重要工具,硬件钱包和软件钱包有所不同,能更好地存储用户的资产,并且拥有物理隔离,这里就为大家简单介绍一下,会根据小编所知的尽可能推荐…
2024-07-02 -
Ordz Games比特币掌机BitBoy预购价500美元!整合链游、硬件钱包
比特币链游项目Ordz Games本月初宣布将推出游戏实体机「BitBoy One」,整合了比特币链游、边玩边赚属性及硬件钱包等,更多详细资讯请看下面正文…
2024-04-15 -
硬件钱包对比 Ledger、Onekey、Trezor,我该选哪个
市面上常见硬件钱包有 imKey、Ledger、Trezor、库神、Cobo 等,各家硬件钱包的外观设计、交互连接方式、后端软件架构不尽相同,这里推荐的这三款硬件钱包希望大家多对比或者…
2024-04-17 -
Ledger和Trezor硬件钱包哪个好?哪个更安全些?
Ledger和Trezor两款硬件钱包是目前市场上最受欢迎的数字货币存储设备,这两款钱包虽然功能相似,但在细节方面存在着差异,那么,Ledger和Trezor哪个好?哪个更安全些?…
2024-01-17 -
区块链钱包中的硬件钱包、冷钱包、热钱包、观察钱包、多签钱包、插件钱
很多朋友第一次知道虚拟货币钱包,但里面有太多的选择,我们将比较和回顾最流行的区块链钱包,以帮助您选择适合您需求的一款…
2023-12-20 -
什么是硬件钱包?Ledger评测与开箱使用教程
我们今天讲的硬件钱包就是属于冷钱包,它是一个类似 U 盾的设备,价格通常在 400~1500 人民币左右;当然网上也有很多教程教大家用一个旧手机去自制冷钱包,这样子不花一分…
2023-12-17 -
硬件钱包和软件钱包有什么区别? 一文搞懂硬件钱包和软件钱包的区别
硬件钱包和软件钱包是加密货币存储和管理的两种常见方式,它们之间有一些重要的区别,包括安全性、易用性和可移植性,那么究竟硬件钱包和软件钱包有什么区别?下面就让小编为…
2023-11-15 -
硬件钱包哪个好? 2023最新硬件钱包排名介绍
硬件钱包是一种专门设计用于安全存储加密货币私钥的物理设备,与在线钱包或软件钱包相比,硬件钱包具有更高的安全级别,可以提供更好的保护措施来防止私钥被泄露,很多投资新…
2023-10-31 -
哪款硬件钱包好用?2023年最好用的硬件钱包推荐
这几年时不时会听到有朋友的虚拟资产被盗的消息,令人觉得非常惋惜,其实安全保管加密资产也很简单,那就是选择适合自己的硬件钱包,离线冷存储私钥是非常安全的,那么什么硬…
2023-10-18