你的纸钱包可能不安全!私钥盗窃问题丛生,资安新创 CYBAVO 详列危险清单
在加密货币的世界里,钱包所对应的私钥就相当于该钱包所储存的资产,是唯一可以动用钱包内资金的令牌,若私钥生成或管理不善将造成极大的资安漏洞,几乎所有的加密货币被盗事件都与私钥生成或管理不当有关。本文由专栏作者 CYBAVO 撰稿。必读干货:企业导入区块链面临的第一个问题:私钥管理 (资安)
比特币的钱包除了用来交易以外,通常还肩负私钥生成的工作,有些安全意识较高的用户会采用离线生成私钥的方法,只有在动用比特币时,才将私钥导入钱包进行交易。而离线生成私钥的方法中,纸钱包受到许多人推崇,用户只需要准备一台干净安全的电脑,连上纸钱包生成网站,进行断网的动作后,直接使用网页上的生成私钥功能,就能取得一组新的私钥与对应的钱包地址。
究其原理,生成私钥本就不需要连接网路,私钥本身就是一串乱数,生成过程只需要有一个 够随机 且符合标准的乱数种子。纸钱包生成网站通常会提供一个可离线作业的 JavaScript 程式,在您电脑断网并点击生成私钥时,该程式会利用一些乱度因子例如:滑鼠轨迹、键盘输入及系统时间等资讯作为部分参数,并跟系统乱数嫡池取得符合标准的乱数后生成私钥。
你的钱包安全吗?
但这样生成的私钥真的安全吗?以下的分析您将发现,即便您的电脑是干净安全的、您生成私钥的过程也没有连上网路、而且您用来印出纸钱包的印表机服务中也没有驱动拦截,即使在这样完全安全的环境下,透过纸钱包生成网站生成出来的私钥,依然有可能是危险的!
bitop交易平台前 CYBAVO 特聘研究员也是台湾密码庞克Cypherpunks Taiwan创办人陈伯韦与 CYBAVO 合作,查到有人使用特定网站的纸钱包出现私钥被盗的问题,经 CYBAVO 进一步追踪后发现,多数纸钱包生成网站都是采用与 BitAddressorg相同的 JavaScript 原始程式码进行二次开发。这些网站不乏知名的纸钱包生成网站,如 WalletGeneratornet 及 BitcoinPaperWalletcom 等都已经被证实有后门存在。