LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资产 > 190万个trx被盗……别把私钥存在网上,私钥存放安全方法

190万个trx被盗……别把私钥存在网上,私钥存放安全方法

2021-06-10 执着探索 来源:区块链网络

点赞收益最大化方法:

收益高——先有效阅读3分钟以上——再点赞

收益低——先点赞——再阅读

请珍惜自己的能量!

今日主题内容简介:

190万个trx被盗……别把私钥存在网上,私钥存放安全方法

昨天受萨尔瓦多采用比特币为法定币消息的刺激影响,比特币大涨15%以上,整个加密货币市场也是积极跟涨,而与此同时,空军却是一片哀嚎声声,比特币出现大面积爆仓,空头损失超6亿美元。

据金果子全网数据统计,24小时多空爆仓总额高达7.63亿。光是OK、火币、币安和BITMEX四大平台空头爆仓损失就高达5.27亿,OK合约交易所成为这次最大的爆仓灾区,爆仓损失高达5.75亿。


合约期货,每次涨跌都会有大面积爆仓新闻进行报道,看着这个市场此种情形,简直就跟赌场似的,长此下去,势必对加密市场的发展带来极大的负面影响,严重造成市场的巨大波动性,也不知这方面会否引起监管方的注意和重视。

190万个trx被盗……别把私钥存在网上,私钥存放安全方法

在今日凌晨12点多,超级君收到一个币友的信息,声称他的****丢失了190万个trx......黑-=客地址:TTpp2SYJSjaafVzn1b9yWMWY5WYpGn5t7c

该友的助记词是放在qq里保存着的,按说还是比较安全的了,但为何还是遭到了如此恶运呢?况且他说他放在QQ里已经是近三年的时间了,共有好几百张助记词存单,而这三年时间里却没有发生过类似的事情,恰恰就是在他刚操作卖出了几千个TRX后,就发生了。

看来问题不是那么简单的了,也并不是什么偶然的,而是他保存助记词的地方,早就被黑客给盯上了,一旦他有操作动作时,黑客便能知晓他该助记词的去向,因此导致钱包里的资产被盗取也成必然。



下面是交易哈希:

看来黑客真是无孔不入啊,助记词就好比我们的***一般重要,保存及怎样保存好,才能是最为安全的,也是我们应该引起重视的问题。

现在的网上有非常多的文章都是讨论“冷存储”。

一般硬件钱包实现“冷存储”,是将私钥保存在离线硬件钱包内,需要进行交易的时候,通过观察钱包(热端 App),将待签名信息传输入硬件钱包,然后利用硬件钱包内的私钥进行签名,最后将签名后的信息传输到观察钱包并广播上链。

可以说大家对“冷存储”的讨论很多,但这里其实有一个更关键的问题:就是助记词应该如何存储。

而实际上在这套体系中,最薄弱的环节并不是硬件钱包,而是助记词。

所以,相对于冷存储,就引入了“深冷存储”(Deep Cold Storage)的概念,其实就是特指对助记词的保存。

PS(附言):

有一些 BTC Maximalist 或定投党(invest a fixed amout of money into bitcoin every month and never transfer out),用钱包生成助记词并得到地址以后,会将钱包 App 删除,并持续往这个地址打币。对于这些人来说,“冷存储”不是一个大问题,但深冷存储(助记词的保存)是非常非常重要的。

今天在这里就来给大家分享下关于深冷存储的几种实践方法,以便供大家借鉴和参考,找到最适合自己的最为安全的存储方式。

方案一:

将一套助记词抄在纸上,或者有些要求更高的用户,会使用金属类的存储产品来存储助记词并保存。这也是我们最常见的方案。

方案二:

方案一经常被人诟病的一点是,如果只保存一套,一旦发生不可逆灾害(比如水灾,火灾,地震等),那我们的资产就将会面临被全部丢失的风险。

自然而然地,人们也就提出了第二种深冷存储的方案:备份多份,异地保存。毕竟多地同时发生不可逆灾害的可能性是极低的。

可是问题又来了,同时多地保存,却增加了助记词被盗导致资产丢失的可能性。

这里我们来做个简单的算术:

假设助记词保存在一个地方,被盗的概率是 1%,发生自然灾害损毁的概率也是 1%。

那么,如果五份助记词异地保存,“被盗”造成损失的概率是任何一处被盗的概率,“被毁”(被自然灾害损毁)的概率是五处同时被毁的概率。我们可以得到下表:

通过简单的概率计算,可以看到,方案二很大程度上避免了自然灾害损毁的概率。

但是被盗的风险提升了 5 倍!

方案三:

那有没有一种方案,可以同时显著降低方案一被盗和被毁的概率么?

答案是肯定的。


展开方案三之前,有一个密码学概念大家需要理解:Shamir’s Secret Sharing Scheme(下文简称SSSS),这是 Adi Shamir 创建的分片加密算法。

可将需要加密的信息分为多个部分,使每个参与者都持有自己独特的部分。要想重建原始信息,需要最少数量(≤总数)的部分。比如,一份助记词一共分为5个部分,其中任意3个部分可以恢复原始助记词。

没错,细心的伙伴可能已经发现,SSSS 跟多签非常相似。

同样是做 5 份异地保存,如果我们用 SSSS 进行3/5的拆分。

单一保存地被盗的概率还是 1%,被毁的概率还是 1%,那用 SSSS之后,被盗和被毁的概率分别又是多少呢( 也就是说在5个地方中,其中任意3个地方同时被盗或者同时被毁的概率)?

从统计数据可以看到,方案三虽然不如方案二有那么强的抵御自然灾害的能力,但是方案三把被盗的风险也显著降低了。

方案四:

方案二或者方案三,都有一个基础假设:某一处备份被毁之后,资产拥有者能够立即感知到并且转移资产。如果资产拥有者没有感知能力,那资产被毁的概率就会大大提升。


进一步,方案三中资产拥有者对“被盗”也需要感知能力,否则也会大大提升资产丢失的概率。

如果是这样的话,SSSS 生成的每一片子信息,就不能简单地“藏起来”,最好是放到线下银行保险柜。但是分布在各地的银行保险柜,也是一笔不小的开支。

如果把子信息都放到朋友那里呢?那朋友又会不会串通起来,凑出完整的助记词然后瓜分资产?这不得不说又是一个让人犯难的事情。

要想解决这个问题其实也不难,BitGo 的 Lead Security Engineer 找到了他的方案:

简而言之,Lance 先用 AES 对称加密的方法,对助记词进行加密,加密结果通过手术植入到自己的皮肤下面,然后将 AES 加密用的秘钥,再通过 SSSS 进行拆分,保存在世界各地的朋友处。也就是说,没有皮肤下的加密助记词,秘钥凑齐了也没有任何作用。当然这种方法显然是最为安全的,但可能对于多数人来说,又会觉得太过麻烦了,主要是还得通过手术植皮才能完成。

说了这么多,那小白用户又该如何进行深冷存储呢?

前面说到的 SSSS,但对于小白用户来说,没有任何编程基础,又该如何使用呢?

其实也是很简单:

https://iancoleman.io/shamir/ 大家可以利用这个网页工具,输入要分解的份数,以及多少份子信息可以恢复出原始信息,再输入原信息,就可以得到分解后的子信息。

但是有一点要注意:这个网页工具,最好下载后离线使用。

如果有的小白用户嫌 SSSS 多地保存操作起来太麻烦(麻烦往往意味着过程中可能会出错),而方案二提到的多地保存方案又增加了被盗的可能性,那又还有没有再“平衡”一些的方案呢?

还有一种常常被提及的方案——就是把24个助记词,分别记录在三张纸片上,每张纸片只记录16 个,同时三张纸片彼此之间缺失的8个词各不相同。

这样,即使丢失了一片纸片,黑客要完成攻击,就需要暴力破解其余 8 个词。

而暴力破解这 8个词,黑客最少需要多少成本呢?

黑客大概需要做 2^88 次Hash运算。按照最新款蚂蚁 S17+ 矿机的算力(73 THash)和能耗(2920 W)的官方数据,电费按照 0.4 元/千瓦时计算,破解成本(仅计算耗电)大概是13到14亿元人民币。

(注明:这里的计算比较简略,是按照第 24 个助记词暴露,也就是助记词的 checksum 暴露的情况,黑客通过哈希计算 checksum 来验证 8 个词的正确性;如果第 24 个助记词未暴露,黑客的暴力破解成本将会指数级上升,甚至无法用 ASIC 矿机进行破解)

所以,如果您囤币总金额在 13 亿元人民币以内,您用这种方案,黑客只窃取一份助记词并暴力破解是不高效的手段。黑客还是会尝试窃取至少 2 份助记词备份,来偷取资产的。

类似的,这种方法也会需要至少摧毁三份私钥中的两份,您的资产才会不可恢复。

所以,上面的概率表加上这种新方案的话:

以上就是关于如何更安全地保存助记词的分享内容。

执着到是觉得最后这种方式,对于多数小白来说,还是比较简单又安全适用的。毕竟我们的资产还达不到黑客破解的13亿成本,哈哈……

那么在助记词之上,又还有没有其他的机制能够进一步加强安全性呢?

我想答案当然是肯定的。

相信还会有更安全更有效的方法得以更新和提升。

很多人还没认识到POW 的魅力,所以感觉到事不关己,拉盘的币很多,但是陷阱也很深,纯正POW币种具有稀缺性,称之为数字黄金,没有幕后操纵,没有操盘手。

94事件国内关闭交易平台,被错杀的纯正币POW势头正在兴起,错过了之前的狗狗币和莱特币,世界币和地球币是否也会再次错过?


世界币——感兴趣的老铁可以:点击购买

地球币——感兴趣的老铁可以:点击购买

全球各大交易平台下载使用:

(1)钱包使用是未来趋势必备,MYKEY钱包使用起来费用低,快速便捷丝滑,还没有MYKEY钱包的新人,您有必要拥有下载使用:请点击此处下载使用

(2)网格量化交易可实现双赚,躺赚,涨赚币,跌赚U,永不踏空涨幅,感兴趣的伙伴可私聊我带会操作,使用请点击下载:派网网格量化交易

(3)交易平台建议选择老牌靠谱交易所:

1) 老牌交易所AEX安银

多年来诚信稳定,也是诸多大咖们喜欢长驻的原因之一,交易可享全球最高返利0.03%:请点击此处下载使用

2)全球第一大交易所币安,BSC是你财富密码的寻求地:还没有下载注册的:请点击此处下载使用

3) 欧易 OKEX 全球三大所之一,每日通过电脑端最上方更多处,都可以有免费的比特币可领取,香不香?请点击此处下载使用

4) 火币网 全球三大所之一:请点击此处下载使用

粉笔矿池

是由币乎币东自发组建的自治,共治型矿池,我们在服务好KEY东的同时会开发出更多更好的理财产品回馈广大币东的支持和信任。

粉笔庄园值得你拥有!

我们正在竞选EOS公链的全球备选节点,请为bp.pink投一票,粉笔矿池有你更精彩!

敬请关注矿池存KEY及退出流程图和每日动态,矿池存KEY地址keyctrl.pink(MYKEY或TP钱包直接转帐即可,智能合约自动返币分红,请添加资产PKEY和PINK):



想了解我们PINK更多的币东朋友,请移步阅读白皮书:粉红梦庄园白皮书。
或关注我们币乎官方帐号---粉红佳人!

现在加入粉红庄园社区福利多多:

存1000key返1000pkey,空投1000key ,持有pkey分红pkey和pink。

篇后语:

股神巴菲特三条铁律:

第一:尽量避免风险,保住本金;

第二:尽量避免风险,保住本金;

第三:坚决记住第一、第二条。

比特皇合约警句:

1修一提两不——功夫修炼、提现、不在于资金多少、不惧怕牛熊。

文章仅供参考或借鉴,不构成投资建议,投资有风险,请大家谨慎操作。

写文不易,还请老铁们能指尖留香给转发点个赞呗,您的支持和鼓励将是小韭菜的我能更快成长起来的最大动力,感谢感谢了!

—-

编译者/作者:执着探索

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...