区块链所有的钱包都有漏洞

冷钱包,又称硬件钱包。

相当于把私钥存在一个芯片上,不联网,被视为“绝对安全”的存储币的方式。

这里一度成为区块链世界的最后一片安全净土。

而最近,几乎所有的硬件钱包,都被破解。

黑客只需要接触手机两分钟,不管你是否屏蔽,就可以轻易转走所有的币。

随着钱包热兴起,很多新厂商加入这一战场,但它们对安全的理解往往不到位。这大大增加了安全隐患。

01 不安全的钱包

你知道吗?其实大部分的钱包,都可以被破解。

包括冷钱包。

据大数据安全公司知道创宇先进技术部总监胡铭德介绍,他所在的团队,就通过技术手段,当众破解了两个国内外知名的硬件钱包。

第一个,是在今年年初获得8000万美金融资的法国Ledger钱包。

“Ledger钱包在设计上有一个安全芯片和一个非安全芯片,我们通过强制升级非安全芯片的方式,在不拆除外壳的前提下,就能一步步取得钱包的PIN码。”胡铭德说。

PIN码相当于钱包的密码,有了它,就可以打开钱包,把钱转走。

除了Ledger,知道创宇团队还发现,其实大部分基于手机平台(MTK)的比特币钱包,都可以被破解。

“几乎所有手机上的钱包,都能破解。”胡铭德称,不管是手机APP的软钱包,还是硬钱包。

比如,他们在对国内多款MTK钱包进行测试时发现,通过导出钱包固件,不仅可以看到多个币种的缓存信息,还可以找到生成助记词的各种库。

胡铭德指出,这是一个很通用的USB漏洞。黑客可以很轻松地植入恶意软件,盗走交易口令和私钥信息。

“只要接触手机2分钟,黑客就能搞出数据,不管你是否有屏蔽保护口令。”胡铭德称这个漏洞,极其严重。

在他看来,这才是最危险的——包括小米、魅族在内的大部分国产手机品牌的中低档机,“都用的是MTK芯片方案”。

主链侧链开发数字货币交易所白皮书区块链浏览器跨境支付场内场外宠物挖矿游戏基金会牌照 181-4069-6008 微信电话同号

这就意味着,绝大多数硬钱包和软钱包,都不安全。

02 冷钱包

保守估计,现在市面上有上百家厂商的钱包产品。它们可分为两类,一类是软件钱包,一类是硬件钱包,即冷钱包。

软件钱包大家好理解,即手机下载的钱包APP,可直接使用。

但硬件钱包是什么?

比特币是存在区块链上的,而私钥,是你拥有和有权管理比特币的证明。

硬件钱包的工作原理,就是将私钥存在一个芯片上,与网络隔离,即插即用。它的外形,有点像U盘。

在业内,硬件钱包被普遍认为是最安全的数字货币存储手段。人们的理由主要有三点:

硬件钱包中的私钥不能被导出。因为不联网,杜绝了黑客攻击。

易备份。设备在初始化配置时会生成助记词,作为私钥的备份,当你的设备丢失或损坏以后,可以购买新的设备,然后通过助记词来恢复私钥。

可实现多币种同时管理——绝大多数的硬件钱包,除了管理比特币,还可以管理莱特币、以太坊、比特现金等数字货币。

目前,国内人气较高的硬件钱包产品,像Ledger Nano S、Trezor、KeepKey 等 ,基本都来自国外,价格在1000元左右。

而因为看好这一领域,很多国内外区块链创业者,都在打造更多的硬件钱包。

“但是,其中大多数厂家对安全理解不到位,导致了很多设计架构问题。”胡铭德指出。

交易所被大量盗币、软件钱包不时失窃,硬件钱包,因此被视为最后一道护城河。

这道护城河一旦失守,意味着什么?

事实上,硬件钱包不是第一次被破解,也不会是最后一次被破解。

据悉,在未来的量子计算机出现后,生成30000亿条密钥,可能只需要8个小时。光是想想这个,都让人不寒而栗。

03 安全无绝对?

在区块链的世界里,绝对的安全,存在吗?

如前文证明了的,硬件钱包,就不存在绝对的安全。

那么,“代码即法律”的智能合约,又安全吗?

设想一下,你签了一个合同,虽然这个合同是开源的,但是你并不能完全看懂这个合同。这就是大多数人对于智能合约的无奈。

虽然区块链技术能保证你的合同完全按照规则执行,但是合约层的代码漏洞,却不易被发现。

而开源,就意味着谁都能看。换句话说,你签了一个看不懂的合同,你身后的黑客,却能看懂。

于是,黑客就成了区块链世界的第一大威胁。

一旦智能合约的漏洞被黑客发现,他们就会发动攻击。这样的例子不胜枚举。

有数据显示,以太坊发展至今,黑客至少窃取了价值10亿美元的数字资产。

再来看PoW和PoS,它们安全吗?

区块链的本质在于建立多方信任,而落到技术上,就是处在区块链中间层的共识算法。

现在最主流的共识算法,一种是以比特币为代表的挖矿机制(PoW),另一种是投票机制(PoS)。

简单地说,PoW的机制是谁的算力大就信任谁,PoS的机制是谁的比特币多就信任谁。

理论上讲,某个人或群体拥有比特币网络51%的算力,或者具有支配51%算力的能力,就能对比特币网络发起攻击。

如果这一天真的降临,比特币体系将被摧毁,或者被垄断。

在全球比特币算力进一步集中化的今天,算力排行前四的矿池,已经拥有了超过54%的算力。

一旦它们联手,发动对比特币的51%攻击,不是不可能。

照此推论,得出的结论,可能是悲观的。

区块链世界存在绝对的安全吗?

或许,我们可以换个角度,来思考这个问题。

安全永远不是绝对的,而是相对的。

真实的世界本来是一个熵增的过程,它会不断变化,不断出错。

而区块链的使命,则是延缓熵增的速度。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链交流微信2398788267

区块链技术公司谈V神称区块链的方向

“2018第四届区块链全球峰会”上,以太坊创始人V神称,他将提出新的方案——"自由激进”的资源分配机制,并将其运用于二次方投票、哈信伯格税、频繁批量拍卖、组合拍...

8500
来自专栏大数据文摘

【科普】数字货币的基石--区块链

260100
来自专栏维基链技术专区

区块链技术能否解决链上原始数据的真实性的问题?

目前,区块链上最基本的应用就是数字货币,也就是数字货币在不同地址的转移,或者称之为价值的转移。

25520
来自专栏智能计算时代

区块链概况:什么是比特币

历史 2008 年 10 月 31 日,化名 Satoshi Nakamoto (中本聪)的人提出了比特币的设计白皮书(最早见于 metzdowd 邮件列表),...

26630
来自专栏区块链技术开发商

家乐福采用区块链,溯源系统原理开发

近日,食品防伪追溯区块链溯源系统正式商用,家乐福签约其溯源系统进行大规模项目建设,主要以提高食品透明度,家乐福采用区块链技术打造建设溯源体系,对接整个生产流程,...

31940
来自专栏智能计算时代

比特币vs分布式账本vs以太坊vs区块链

我们经常被告知,区块链 - 比特币背后的技术 - 不仅将重新布线银行业,还包括社会保障支付,医疗保健甚至数字投票。 到目前为止,这一切都是理论技术行业的讨论。 ...

32250
来自专栏数字

区块链app技术应用系统开发

2018年区块链风靡全球,一时之间,人人都在谈论区块链的技术优势,底层开发特点,区块链就是一场改变时代的技术革命,谁能快速的踏上这艘船,谁就是区块链的受益者。

25840
来自专栏人称T客

区块链在未来的四项最佳实践

区块链是未来。虽然目前对于多数人来说,它的感念依然是较为模糊的,但是区块链将可能成为人们未来社会的核心。这就如同90年代初期的互联网一样,对于一部分人来说这是一...

34230
来自专栏企鹅号快讯

什么是区块链?

关于“区块链”,有人以为只与比特币相关,其实不然,区块链是一种颠覆传统计算方法的新科技。传统计算和信息交流都有一个计算中心,而区块链却没有中心,凡是区块链上的任...

24480
来自专栏维基链技术专区

晓说区块链 | 为何要用区块链技术实现智能合约?

智能合约貌似就是一段脚本,可以被准确执行。这用传统的技术也能实现,为什么一定要用区块链技术呢?区块链又是否真的能应用于电商等现实交易?

26430

扫码关注云+社区

领取腾讯云代金券