安全报告：破解弱私钥，黑客窃取价值数百万的ETH

本周早些时候，总部位于美国的安全咨询公司 Independent Security Evaluators (ISE) 发布了一份关于以太坊区块链私钥的报告。

尽管构建了大约 700 个经常被多人使用的弱私钥，但研究人员发现了一个“区块链强盗”，他通过成功猜测这些弱私钥成功收集了近 45,000 个以太币 (ETH)。

Cointelegraph 与 ISE 高级安全分析师 Adrian Bednarek 进行了交谈，以了解有关他们所谓的“以太坊”的更多信息。

研究背景和主要发现

Bednarek 说他偶然发现了黑客。 当时，他正在为一家企业客户进行研究，该客户计划使用集成的密钥生成算法来实现自己的钱包。

“在你作为安全分析师开始任何评估之前，你必须对底层技术有一个非常清楚的了解——基本上就像你自己创建它们一样，”他告诉 Cointelegraph。

“私钥生成是我们必须考虑的组成部分之一，我正在以太坊上研究私钥的基础知识：它有多大？ 它是如何产生的？ 它如何用于派生公钥和公共地址？ “

在以太坊、比特币 (BTC) 或任何其他支持 ECDSA（椭圆曲线数字签名算法）协议的主要区块链中，私钥由 256 位数字表示。 在他们的研究过程中，ISE 将其缩小到 256 位密钥空间内的八个 32 位“子区域”，因为在更大区域内强制使用私钥的蛮力意味着统计上不可能。

这 8 个子区域总共包含 340 亿个较弱的密钥，ISE 随后对其进行了扫描。 “花了一整天，”Bednarek 说。

值得强调的是，这些密钥是由于代码错误和随机数生成器错误而生成的，研究人员专门针对次优密钥。

“私钥同时是您的用户 ID 和密码，”安全分析师在分解基本机制时解释道。 “这与你的银行登录不同，在那里你有你的用户名和密码 [...]类似于 'password123' - 他们都有相同的钱包。” 正如 Bednarek 所说，“这就像将两个人连接到同一个银行账户。”

最初，ISE 专家发现，“1”* 的私钥实际上是在区块链上使用的，因为它是可能私钥的下界而被选中。 此外，它涉及数千笔交易。

* - （0x000000000000000000000000000000000000000000000000000000000000001 如果使用 256 位代码编写）

“这是一面危险信号，”Bednarek 回忆道。 “为什么人们使用 1 的私钥？ 应该是不可能的。” 他的团队开始扫描更多的钥匙，看看这个问题有多普遍。 虽然 ISE 研究人员确定该问题并非特别普遍，但他们发现多达 732 个弱私钥与总共 49,060 笔交易相关联。

“粗略地说，以太坊 [blockchain] 上使用的密钥大约有 5000 万个，而我们只找到了其中的 732 个。”

区块链强盗

如上所述，在他们的研究过程中，ISE 团队注意到一些与私钥相关的钱包——通过他们的次优方法发现——有许多交易去往特定地址，并且没有钱回来。 正如 Bednarek 在 ISE 网站上发布的解释性视频中所说：

“有一个人有一个地址，他四处走动，从我们可以访问的一些密钥中取钱。我们发现了 735 个私钥，他恰好从我们也可以访问的 12 个密钥中取钱。统计上说，他不可能偶然猜到这些钥匙，所以他可能也在做同样的事情。[…] 当钱进入人们的钱包时，他基本上是在偷钱。”

在与 Cointelegraph 的对话中，Bednarek 解释说，一名黑客（或一群黑客）已经建立了一个节点，可以自动从弱密钥地址中提取资金。 为了对此进行测试，研究人员使用了蜜罐：他们使用他们知道黑客知道的弱私钥发送了一美元，以查看发送速度。 这笔钱在几秒钟内就消失了，ISE 员工说：

“如果是手动操作，可能会在一天之内完成。 但是一旦我们发送了它，我们就去了区块链浏览器，我们看到有一个传输立即发出，几秒钟后就在里面。 所以他（黑客）基本上是一个区块链节点，是在某处设置的交易网络的一部分。 一旦看到使用他知道的私钥的交易，它就会立即发出转账请求。”

根据从 Etherscan 获得的数据，黑客的钱包包含大约 45,000 个 ETH（截至撰写本文时价值超过 730 万美元）。 在以太币价值最高的时候，估计劫匪的战利品售价超过 5000 万美元。

根据诈骗者钱包地址的评论区，多年来一直在盗取资金。 其中一条评论据称是由主要的 ETH 钱包提供商 MyEtherWallet (MEW) 提交的，其中包含一个指向 2016 年 Reddit 主题的链接，标题为“具有不安全 RPC 设置的以太坊节点被积极利用”。 其中，一位 redditor 描述了设置以太坊节点“将其 HTTP RPC API 暴露在互联网上”，并在上线后几分钟内遭到攻击。

“如果你在 [黑客] 地址上进行谷歌搜索，很多人都会抱怨他，”Bednarek 证实，并承认欺诈者的智慧已被证明是非常成功的：

“这家伙盗取资金的手段多种多样。”

然后，安全分析师更详细地描述了欺诈者的方法：“一 - 他正在查看坏私钥。二 - 他正在查看基于弱密码和错误配置 RPC 的钱包。你真的不应该为以太坊节点公开你的 RPC，但是有时人们会这样做，如果你没有设置密码，其他人基本上可以清空与你的节点关联的默认钱包。”

但 ISE 安全研究人员警告说，这种资产掠夺并不是以太坊区块链独有的问题。 “它 [blockchain] 按预期工作以太坊根据地址计算私钥，这只是人们使用它的方式，”他说，描述了他的团队在进行研究时遇到的与道德相关的问题：

“在我们开始进行这项研究之前，我们遇到了一个道德困境——如果我们在钱包里找到一把 100 万美元的钥匙怎么办？我们要把它留在那里吗？但如果我们把它留在那里，我们就知道有一把坏私钥在它后面，它可能会被盗以太坊根据地址计算私钥，所以我们对被盗的钱负有责任，因为我们可以通知某人。但第二个问题是我们通知谁？没有简单的方法来识别私钥的所有者。也许我们可以暂时拿走这笔钱，直到有人证明这是他们的吗？但是这会产生很多法律问题。所以公司的 CEO [他们正在做研究] 联系 IFS 寻求法律建议，他们基本上说：“如果你发现任何东西，把它留在那里。不要转移注意力。

安全建议和进一步研究

因此，根据 Bednarek 的说法，由于两个主要因素，私钥往往容易受到攻击。 第一个是负责生成它们的软件中的编码错误。 其次，一些加密所有者倾向于使用“abc123”等弱密码获得相同的私钥，甚至将其留空。

例如，ISE 报告将最流行的弱私钥之一确定为使用奇偶校验钱包从空恢复短语（即“”）生成的私钥。 据报道，该地址共有 8,772 笔交易，共转移了 5,215,586 ETH。

Bednarek 解释说：“有一段时间，Parity 允许你使用默认密码短语，它会根据它生成一个私钥。”他补充说，钱包开发人员应该在某个时候解决了这个问题。 “我认为他们已经引入了最低密码要求（从那时起）。它可能只是一个字符，但如果你使用的是他们最新版本的软件，你现在不能在 Parity 上使用空白密码。”

根据 Bednarek 的说法，目前还没有钱包创建者联系过 ISE。

“这是一个有趣的问题，因为很难说哪个钱包负责，如果有钱包——可能只是人们输入了错误的私钥，可能是钱包的早期调试版本，也可能是开发人员自己。”很难说为什么会这样，哪个钱包有问题。我认为我们永远不会知道。”

对于那些不懂计算机的人，Bednarek 的主要建议是使用知名且值得信赖的钱包，如果涉及大量加密货币，可能会转向硬件或纸质钱包。 他说：

“如果你交易或持有大量货币，请使用私钥永远不会泄露的硬件钱包。 我的很多长期持有的朋友都使用纸钱包，他们会生成随机密钥并将它们存储在纸上，所以它根本不会接触电脑。”

尽管如此，即使是流行的软件也总是存在一些风险，Bednarek 警告说，Iota 钱包的例子是牛津大学的一名开发人员，他上个月被捕并被控盗窃约 1000 万欧元。

鉴于 Iota 钱包是开源的，其代码可在 Github 上公开获取。 在某些时候，欺诈者通过提交对代码的更改来修改随机数生成器。

“这是以一种非常模糊的方式完成的，”贝德纳雷克说。 据他说，“虽然很多人可以看代码，但他们只是认为它应该可以工作。”

ISE 专家解释说，通过这种方式，黑客能够看到私钥是如何生成的，并使用他注入的代码复制它们。

“在很多人赔了很多钱之后，有人把他的修改逆向工程成一个随机数生成器，他们能够看到他在密钥空间的特定范围内创建序列号。”

至于未来，ISE 计划继续更大规模地监控区块链和弱私钥。 “我们将使用我们的扫描方法来使用 GPU，我们将能够在几秒钟内扫描 380 亿个密钥，”Bednarek 告诉 Cointelegraph。

“随着我们提高扫描效率，我们将能够做一些疯狂的事情，比如脑钱包或其他可能有问题的密钥生成算法。因此我们将扩展到不同的领域以识别更多密钥。”

此外，安全研究团队将发布更多信息——包括错误的公钥——供人们自行研究并对可能存在的安全漏洞保持警惕。 “也许这将成为帮助寻找某些原因的协作努力，”贝德纳雷克建议道。