硬錢包也不安全!數字資產安全攻略
“獨立的硬錢包擁有獨立的晶片,如果該晶片不抗DPA攻擊、電磁干擾攻擊或電磁波攻擊,可能會破譯起來更容易些。”
10月9日, 密碼學專家韓永飛 做客由鏈天下主辦的線上訪談欄目《百媒鏈談》,其關於目前普遍認為很保險的硬錢包也不安全的說法,引起了公眾對於數字資產安全的關注。難道自己的加密資產就真的不安全了嗎?
客盜幣之出錯攻擊
所謂出錯攻擊,即利用使用者犯的常識性錯誤,盜取使用者資產。比如,某黑客盯上了某個人,通過侵入其電腦,盜走儲存在電腦中的私鑰,即可悄無聲息地轉走個人的加密資產。
據瞭解,此類事件,已經發生了N例,很大程度上在於個人資訊的洩露,從而被黑客盯上,同時祕鑰又以一種不安全的方式進行了儲存。
黑客盜幣之旁路攻擊
這種攻擊的演算法與計算複雜性毫無關係。通過獲取電流、電壓、電磁波,然後一兩秒鐘就可以破譯掉,屬於旁路攻擊。
上文中所說的硬錢包攻擊,即屬於這種攻擊。獨立的硬錢包擁有獨立的晶片,如果該晶片不具備抗DPA攻擊、電磁干擾攻擊或電磁波攻擊,可能破譯起來會更容易些。
據業內人士介紹,政府高層曾經為了防止這類硬體攻擊洩露機密,專門為隨身攜帶者的筆記本設計了一種殼子,防止電壓、電流、電磁波等資訊被讀取。事實上,這也從側面印證了這種攻擊方式的可行性。
不過,據韓永飛介紹,這種做法只有在特定條件下才能獲取電磁波或者晶片裡邊的電流或者電壓訊號,個人電腦一般人很難獲得這個訊號,至於移動手機就更難以實現了。並且,現在已經有了很多抗DPA攻擊技術和抗電磁波攻擊技術,可以讓硬錢包相對安全。
黑客攻擊之交易所
談及交易所攻擊,從網上可以搜到很多例項。從Mt.Gox到Bitfinex、Coincheck、Bithumb、Bancor、幣安(Binance)等交易所,雖然丟幣數量不等,但絕對防不勝防。
日前,1COrating.com釋出的一份詳細的報告顯示,許多交易所普遍存在安全措施鬆懈的問題,其中包括一些被認為是頂級平臺的交易所。在100家日交易額超過100萬美元的交易所中:
● 41%的交易所允許密碼少於8個符號;
● 37%的交易所只允許使用數字或字母的密碼;
● 5%的交易所允許在沒有電子郵件驗證的情況下建立賬戶;● 3%的交易所沒有2FA;
● 只有46%的交易所滿足所有四個引數;
● 只有4%的交易所被發現具有領域安全的最佳實踐;
● 只有2%的交易所使用登錄檔鎖;
● 只有10%的交易所使用DNSSEC,防止DNS快取中毒。
調查顯示,無一交易所能達到盡善盡美,不過還是將排行靠前的推薦一下。
在談及交易所被盜的原因時,韓永飛的一種提法非常有意思,他認為,交易所把使用者的錢都存到他的錢包,就和比特幣本身的安全沒有太大關係了,因為交易所的錢包雖然也是比特幣的一個錢包,但是這個錢包所處的環境和使用者所在的終端環境就不一樣了。第一人為可以操作,第二黑客會加大攻擊力度,因為幹掉一個錢包,可以拿到很多比特幣。不是比特幣本身的問題,而是交易所的問題,也不是密碼學自己的問題,而是密碼學所處的環境——交易所的演算法執行環境出了問題。
黑客攻擊之熱錢包
每個進入幣圈的人,都要先從錢包開始重視安全,因此,錢包與每個人都息息相關。在韓永飛看來,目前,所有的數字錢包並不是用的同一種密碼演算法,所以祕鑰也不一樣。不過要想破解,則就需要進行海量的算力。
在其經歷的一次測試中,團隊要破譯RSA的700多位,動用了全球大學校園業餘時間的機器,最終破譯了一年多。目前,量子計算機還沒真正出現,以ECC(Elliptic Curves Cryptography,橢圓曲線密碼編碼學)密碼為例,利用目前的力量破譯ECC,要集全球之力,可能也要破譯相當長的時間,恐怕需要以年來計算。
所以,基於熱錢包破解所需要的算力以及複雜性,公眾並不需要太擔心,只需要儲存好自己的祕鑰,平時在網路上多注意安全,在交易之後就將資產轉入個人的錢包,問題就不大了。不過,錢包中存有較多價值幣的個人使用者還是小心些好。同日常錢包一樣,一個錢包放過多的錢風險變大。
寫在最後
在個人資產安全方面,韓永飛最後指出,黑客破譯也講究投入產出比,若投入1000萬,收入10萬,肯定沒人願意做。個人認為這一點非常關鍵,普通玩家本身投入就不多,很難入得了黑客的法眼,在日常操作方面謹慎一些,攻擊事件就不會發生在自己身上。