为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 IT技术 安全攻防 查看内容

安全专家解读如果确保比特币等数字货币不被盗

2018-6-21 05:57| 投稿: xiaotiger |来自: 互联网

摘要: BTC周围的朋友拥有一种或者种数字货币已经不是一件新鲜事了。虽然加密货币和区块链仍处于发展的早期阶段,但发展速度迅猛,黑客们肯定不会错过这个盛宴,我们已经看到了几起大规模交易和区块链协议被黑客攻击的事件 ...

BTC

周围的朋友拥有一种或者种数字货币已经不是一件新鲜事了。虽然加密货币和区块链仍处于发展的早期阶段,但发展速度迅猛,黑客们肯定不会错过这个盛宴,我们已经看到了几起大规模交易和区块链协议被黑客攻击的事件,动辄就是千万级。比如近期韩国交易所CoinGrail最近遭到黑客攻击造成4000万美元的损失,除了中心化交易所,很多黑客也开始瞄准了个人用户。(很多权威人士担忧这种黑客行为会将市场带入持续多年的熊市)

近期经常看到很多人在抱怨自己的比特币或EOS等币种的私钥被盗或者丢失,有的人的数字货币被偷偷的转到一个其他的地址,上次与一个交易所的朋友了解到,单纯就比特币的人为被盗的案例就比去年同期增长了300%。数字货币和区块链的核心特征(去中心化)衍生了他的安全问题:缺乏中央权威为其背书,一旦丢失意味着根本无法找回,这个可能比数字货币市场本身风险更让人欲哭无泪。所以,是时候重视一下个人区块链数字资产的安全了。

本文作者(今日头条号:区块链与比特币技术)作为多年的信息安全从业者,从安全的角度,对韭菜和非韭菜用户提供几点参考依据:

不要把所有的币种资产放在交易所

许多交易所拥有庞大的用户群,这使得它们成为黑客极具吸引力的目标。交易所是“HoneyPots”(类似蜜罐,通常指的是任何集中的加密存储和运营方,对于黑客来说是这种目标非常诱人)。黑客集中盯上这些数字货币交易所,一旦成功收益巨大。我们看到大多数排名靠前的交易所遭到黑客入侵的案例而导致大量用户的资金被盗。因此,把所有的资金留在这些交易所中不是一个明智的事情。有一个简单的原则:交易所适合短线交易,如果是短线交易,并且在一天内交易量很大,那么可以尝试在交易所做些投资组合操作,如果是长线投资,建议还是用安全的钱包存储。

小额可使用在线和离线钱包

如果是数额较小,仅仅就玩玩,丢了也无妨,那么在线和离线钱包将是存储硬币的最经济实惠的方式。您可以从各自的网站上的任何加密货币下载官方钱包。不过很多多币种在线钱包在某种程度上仍然是HoneyPot。

数额中上使用硬件钱包

如果你拥有一个拥有超过一万块人民币面值的数字货币(至少我认为一万人民币算是一个不小的数字),那么使用联机和脱机可能不适合。因此,使用安全的硬件钱包将是推荐的最佳选择。后续将抽个时间重点讲解安全硬件钱包机制和原理和一些硬件钱包推荐。

别在网上吹牛

有一些人喜欢在网络上吹嘘自己拥有多少个比特币或者EOS,诸不知有些总会留下一些IP足迹或者ID信息,被黑客盯上可不太好,就算真的是仅仅是吹牛,被黑客把自己的资料翻来翻去也不是什么好事。比如说在知乎,如果回答一个拥有多少个比特币的问题,如果实在忍不住想说下并接受大家的膜拜,最好还是匿名。

从见过这么多惨痛的案例来看,其实真正最危险的是对信息安全的漠视,和许多人在交流的时候发现他们总抱着两种心理:

  1. 这种倒霉事再怎么也不会轮到我吧。(嗯,黑客也喜欢你这么想)之前都从没出过事情,黑客技术有这么厉害吗,吓唬人的吧?(大哥,你的邮箱里面什么都没有,当然不会打扰你啦。)

2. 之前都从没出过事情,黑客技术有这么厉害吗,吓唬人的吧?(大哥,你的邮箱里面什么都没有,当然不会打扰你啦。)

好吧,随便找一个攻击案例:

比特币和以太等数字货币的核心算法是ECDSA签名算法,里面都会有被模块化的mod函数,首先,mod函数(取模)并不是一直在循环运行的。如果递减的参数已经在[0, - 1]的范围内,则此函数在不调用DivRem的情况下提前返回。如果旁道探测到DivRem是否被此函数调用,则攻击者就能获悉有关参数的信息。

//大部分的ECDSA签名算法库流程如下:

1:function Mod(a,q)

2: if < then

3:return

4: else

5:, ← DivRem(, )

6: return

7:function Sign(msg,x,q)

8: ← Hash()

9: ← Mod(, )

10: ← RandomInteger(1, �6�1 1)

11: ← Inv(, )

12:←F()

13:if =0 then

14: return error

15: ← Mul(, )

16: ← Mod(, )

17: ← Add(, )

18: ← Mod(, )

19: ← Mul(, )

20: ← Mod(, )

21: if =0 then

22: return error

23:return (, )

通过这个漏洞,使用缓存侧信道攻击(Cache side-channel attack)中的Flush + Reload方法(见备注),攻击者首先识别托管站点的云提供商,然后使用该提供者创建虚拟机,直到其中一台虚拟机与受害站点共享相同的物理处理器。接下来,攻击者启动TLS连接以触发ECDSA签名过程,并使用跨VM侧通道监视泄露的信息,然后使用此信息恢复站点的私钥。然后,攻击者拦截站点和用户之间的数据,修改TLS数据包的内容并使用被盗私钥伪造签名。

很多人喜欢以自身以往的经历和认知来决定自己的行为,这无可厚非,但保持一点敬畏心总会没错的,因为---毕竟那些币都是你用真金白银买来的。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6569001672490615304/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部