硬钱包也不安全!数字资产安全攻略
“独立的硬钱包拥有独立的芯片,如果该芯片不抗DPA攻击、电磁干扰攻击或电磁波攻击,可能会破译起来更容易些。”
10月9日,密码学专家韩永飞做客由链天下主办的在线访谈栏目《百媒链谈》,其关于目前普遍认为很保险的硬钱包也不安全的说法,引起了公众对于数字资产安全的关注。难道自己的加密资产就真的不安全了吗?
客盗币之出错攻击
所谓出错攻击,即利用用户犯的常识性错误,盗取用户资产。比如,某黑客盯上了某个人,通过侵入其电脑,盗走保存在电脑中的私钥,即可悄无声息地转走个人的加密资产。
据了解,此类事件,已经发生了N例,很大程度上在于个人信息的泄露,从而被黑客盯上,同时秘钥又以一种不安全的方式进行了保存。
黑客盗币之旁路攻击
这种攻击的算法与计算复杂性毫无关系。通过获取电流、电压、电磁波,然后一两秒钟就可以破译掉,属于旁路攻击。
上文中所说的硬钱包攻击,即属于这种攻击。独立的硬钱包拥有独立的芯片,如果该芯片不具备抗DPA攻击、电磁干扰攻击或电磁波攻击,可能破译起来会更容易些。
据业内人士介绍,政府高层曾经为了防止这类硬件攻击泄露机密,专门为随身携带者的笔记本设计了一种壳子,防止电压、电流、电磁波等信息被读取。事实上,这也从侧面印证了这种攻击方式的可行性。
不过,据韩永飞介绍,这种做法只有在特定条件下才能获取电磁波或者芯片里边的电流或者电压信号,个人电脑一般人很难获得这个信号,至于移动手机就更难以实现了。并且,现在已经有了很多抗DPA攻击技术和抗电磁波攻击技术,可以让硬钱包相对安全。
黑客攻击之交易所
谈及交易所攻击,从网上可以搜到很多实例。从Mt.Gox到Bitfinex、Coincheck、Bithumb、Bancor、币安(Binance)等交易所,虽然丢币数量不等,但绝对防不胜防。
日前,1COrating.com发布的一份详细的报告显示,许多交易所普遍存在安全措施松懈的问题,其中包括一些被认为是顶级平台的交易所。在100家日交易额超过100万美元的交易所中:
● 41%的交易所允许密码少于8个符号;
● 37%的交易所只允许使用数字或字母的密码;
● 5%的交易所允许在没有电子邮件验证的情况下创建账户;● 3%的交易所没有2FA;
● 只有46%的交易所满足所有四个参数;
● 只有4%的交易所被发现具有领域安全的最佳实践;
● 只有2%的交易所使用注册表锁;
● 只有10%的交易所使用DNSSEC,防止DNS缓存中毒。
调查显示,无一交易所能达到尽善尽美,不过还是将排行靠前的推荐一下。
在谈及交易所被盗的原因时,韩永飞的一种提法非常有意思,他认为,交易所把用户的钱都存到他的钱包,就和比特币本身的安全没有太大关系了,因为交易所的钱包虽然也是比特币的一个钱包,但是这个钱包所处的环境和用户所在的终端环境就不一样了。第一人为可以操作,第二黑客会加大攻击力度,因为干掉一个钱包,可以拿到很多比特币。不是比特币本身的问题,而是交易所的问题,也不是密码学自己的问题,而是密码学所处的环境——交易所的算法运行环境出了问题。
黑客攻击之热钱包
每个进入币圈的人,都要先从钱包开始重视安全,因此,钱包与每个人都息息相关。在韩永飞看来,目前,所有的数字钱包并不是用的同一种密码算法,所以秘钥也不一样。不过要想破解,则就需要进行海量的算力。
在其经历的一次测试中,团队要破译RSA的700多位,动用了全球大学校园业余时间的机器,最终破译了一年多。目前,量子计算机还没真正出现,以ECC(Elliptic Curves Cryptography,椭圆曲线密码编码学)密码为例,利用目前的力量破译ECC,要集全球之力,可能也要破译相当长的时间,恐怕需要以年来计算。
所以,基于热钱包破解所需要的算力以及复杂性,公众并不需要太担心,只需要保存好自己的秘钥,平时在网络上多注意安全,在交易之后就将资产转入个人的钱包,问题就不大了。不过,钱包中存有较多价值币的个人用户还是小心些好。同日常钱包一样,一个钱包放过多的钱风险变大。
写在最后
在个人资产安全方面,韩永飞最后指出,黑客破译也讲究投入产出比,若投入1000万,收入10万,肯定没人愿意做。个人认为这一点非常关键,普通玩家本身投入就不多,很难入得了黑客的法眼,在日常操作方面谨慎一些,攻击事件就不会发生在自己身上。