8 月 9 日，最新報告顯示，安全研究人員發(fā)現(xiàn)了一種名為「Dark Skippy」的新的攻擊機制，黑客可以使用該方法從僅具有兩個簽名交易的比特幣硬件錢包中提取私鑰。該漏洞可能影響所有硬件錢包型號，但只有受害者被誘騙下載惡意固件時才會起作用?！窪ark Skippy」的此前版本需要數(shù)十筆交易才可發(fā)揮作用，新版本的「Dark Skippy」僅需要幾筆交易也可以執(zhí)行。此外，即使用戶依賴單獨設(shè)備生成助記詞，也可以執(zhí)行攻擊。該披露報告由 Lloyd Fournier、Nick Farrow 和 Robin Linus 發(fā)布。Fournier 和 Farrow 是硬件錢包制造商 Frostsnap 的聯(lián)創(chuàng)，而 Linus 是比特幣協(xié)議 ZeroSync 和 BitVM 的聯(lián)合開發(fā)者。

如何用2個簽名破解你的硬件錢包私鑰？如何避免被攻擊？近期，海外加密安全圈炸鍋了！又一個改進的硬件錢包破解手段被披露，速度更快、效率更高。難道黑客和白帽們也在搞“奧運”？今天腳本之家小編給大家分享一篇OneKey給大家?guī)淼暮诳褪侨绾纹平庥布X包的？作者將用盡量簡單的語言為你解釋這一切。大家一起看看吧！

1. 黑客是如何破解硬件錢包的？

1. 刷入惡意固件：攻擊者將惡意固件刷到你的硬件錢包上。

2. 發(fā)送交易：黑客使用這個帶有惡意固件的硬件錢包發(fā)送比特幣交易。惡意固件會將你的助記詞通過低隨機性簽名的方式“嵌入”到這筆交易中，而這筆交易會公開存儲在區(qū)塊鏈上。

3. 提取助記詞：攻擊者在區(qū)塊鏈上找到你的交易，運行特殊算法，從中提取出你的比特幣助記詞。

4. 盜取比特幣：拿到助記詞后，攻擊者就能訪問并盜走你的比特幣。

2. 這個攻擊算法的原理是什么？

要理解這個算法，你需要對 BTC 轉(zhuǎn)賬有些了解。如果你不是那種愛刨根問底的好奇寶寶，可以直接跳到下一部分，了解如何避免被攻擊。

在進行比特幣轉(zhuǎn)賬前，你需要準(zhǔn)備交易數(shù)據(jù)，包括交易的輸入（即你要花費的比特幣來源）和輸出（你要將比特幣轉(zhuǎn)到哪里）。隨后，通過哈希算法計算出消息哈希值，這是需要簽名的數(shù)據(jù)摘要，可理解為“濃縮的交易數(shù)據(jù)”。

關(guān)鍵步驟：簽名

接下來是重頭戲：你需要對這個交易數(shù)據(jù)進行簽名。以橢圓曲線數(shù)字簽名算法（ECDSA）為例，你需要結(jié)合一個內(nèi)部隨機數(shù) k 來生成簽名結(jié)果。

隨機數(shù) k 的引入是為了確保每次簽名的唯一性和安全性。如果每次使用相同的隨機數(shù) k，即便你簽署的消息（交易）不同，生成的簽名可能會出現(xiàn)規(guī)律，從而被攻擊者通過數(shù)學(xué)分析破解你的私鑰。

因此，每次都使用一個不可預(yù)測的隨機數(shù) k，可以確保每次生成的簽名都是獨一無二的，即使對同一個消息進行多次簽名，結(jié)果也會不同。

最后，礦工會驗證并將交易打包廣播到區(qū)塊鏈。

黑客如何利用弱隨機數(shù)攻擊？

雖然無法直接從加密芯片上讀取私鑰，但如果黑客能修改你的固件里的隨機算法，使隨機數(shù) k 不再隨機，那么通過幾次簽名后，便可以通過鏈上廣播的信息反推出你的私鑰。

在 Dark Skippy 中，黑客將這個需求降低到只需 2 個簽名（對于 12 個助記詞）或 4 個簽名（對于 24 個助記詞）即可破解私鑰。這比以往的方法更高效。

3. 如何避免被攻擊？

這類攻擊成功的關(guān)鍵在于：黑客成功拿到了用戶的硬件錢包，并植入了惡意固件。

所以，建議采取以下防護措施：

1. 確保硬件錢包的安全

• 防供應(yīng)鏈攻擊：確保硬件錢包從出廠、運輸直到你的手里，未被第三方碰過。現(xiàn)在多家硬件錢包品牌，包括 OneKey，都有多層防拆封設(shè)計，確保如果有拆封痕跡能夠立即發(fā)現(xiàn)。

• 錄像開箱：建議您從收到貨開始全程錄像開箱，作為售后依據(jù)。

• 保管好錢包：開始使用后，確保硬件錢包不會被他人接觸，以防被惡意修改。

2. 確保固件代碼的安全

• 從官網(wǎng)渠道下載更新：確保你從官方渠道下載固件更新。

• 做好校驗工作：不同廠商的措施不一。以 OneKey 為例，我們的軟件和硬件代碼是開源的，并通過了知名安全機構(gòu)的審計。OneKey 最新硬件采用多顆軍工級保密 EAL 6+ 芯片，機器和 App 會自動校驗固件，非官方固件的簽名會被檢測到并硬抹除助記詞數(shù)據(jù)。

4. 總結(jié) 

無論如何，如果硬件錢包一旦丟失或落入黑客手中，建議立即啟用備份助記詞，盡快轉(zhuǎn)移資產(chǎn)，確保萬無一失。相比助記詞觸網(wǎng)存儲和釣魚 攻擊，這個風(fēng)險仍然較小。

以上就是腳本之家小編給大家分享的如何用2個簽名破解你的Dark Skippy硬件錢包私鑰？如何避免被攻擊的詳細解讀了，希望大家喜歡！

你可能感興趣的文章

• 

  如何選擇和使用冷錢包？硬件錢包推薦

  由于各種原因由此造成加密貨幣資產(chǎn)丟失,交易所跑路、錢包監(jiān)守自盜都容易導(dǎo)致資產(chǎn)丟失，所以人們對冷錢包的需求急劇增加，想通過冷錢包保管加密資產(chǎn),然而，市場上有許多不同…

  2024-06-29
• 

  2024年硬件錢包排行榜分享(靠譜的硬件錢包)

  加密貨幣錢包是存儲用戶貨幣的重要工具，硬件錢包和軟件錢包有所不同，能更好地存儲用戶的資產(chǎn)，并且擁有物理隔離，這里就為大家簡單介紹一下，會根據(jù)小編所知的盡可能推薦…

  2024-07-02
• 

  Ordz Games比特幣掌機BitBoy預(yù)購價500美元！整合鏈游、硬件錢包

  比特幣鏈游項目Ordz Games本月初宣布將推出游戲?qū)嶓w機「BitBoy One」，整合了比特幣鏈游、邊玩邊賺屬性及硬件錢包等,更多詳細資訊請看下面正文…

  2024-04-15
• 

  硬件錢包對比 Ledger、Onekey、Trezor，我該選哪個

  市面上常見硬件錢包有 imKey、Ledger、Trezor、庫神、Cobo 等,各家硬件錢包的外觀設(shè)計、交互連接方式、后端軟件架構(gòu)不盡相同，這里推薦的這三款硬件錢包希望大家多對比或者…

  2024-04-17
• 

  Ledger和Trezor硬件錢包哪個好？哪個更安全些？

  Ledger和Trezor兩款硬件錢包是目前市場上最受歡迎的數(shù)字貨幣存儲設(shè)備,這兩款錢包雖然功能相似，但在細節(jié)方面存在著差異,那么，Ledger和Trezor哪個好？哪個更安全些？…

  2024-01-17
• 

  區(qū)塊鏈錢包中的硬件錢包、冷錢包、熱錢包、觀察錢包、多簽錢包、插件錢

  很多朋友第一次知道虛擬貨幣錢包，但里面有太多的選擇，我們將比較和回顧最流行的區(qū)塊鏈錢包，以幫助您選擇適合您需求的一款…

  2023-12-20
• 

  什么是硬件錢包？Ledger評測與開箱使用教程

  我們今天講的硬件錢包就是屬于冷錢包，它是一個類似 U 盾的設(shè)備，價格通常在 400～1500 人民幣左右；當(dāng)然網(wǎng)上也有很多教程教大家用一個舊手機去自制冷錢包，這樣子不花一分…

  2023-12-17
• 

  硬件錢包和軟件錢包有什么區(qū)別？ 一文搞懂硬件錢包和軟件錢包的區(qū)別

  硬件錢包和軟件錢包是加密貨幣存儲和管理的兩種常見方式,它們之間有一些重要的區(qū)別，包括安全性、易用性和可移植性,那么究竟硬件錢包和軟件錢包有什么區(qū)別？下面就讓小編為…

  2023-11-15
• 

  硬件錢包哪個好？ 2023最新硬件錢包排名介紹

  硬件錢包是一種專門設(shè)計用于安全存儲加密貨幣私鑰的物理設(shè)備,與在線錢包或軟件錢包相比，硬件錢包具有更高的安全級別，可以提供更好的保護措施來防止私鑰被泄露,很多投資新…

  2025-04-30
• 

  哪款硬件錢包好用？2023年最好用的硬件錢包推薦

  這幾年時不時會聽到有朋友的虛擬資產(chǎn)被盜的消息，令人覺得非常惋惜,其實安全保管加密資產(chǎn)也很簡單，那就是選擇適合自己的硬件錢包，離線冷存儲私鑰是非常安全的,那么什么硬…

  2023-10-18