8 月 9 日，最新報(bào)告顯示，安全研究人員發(fā)現(xiàn)了一種名為「Dark Skippy」的新的攻擊機(jī)制，黑客可以使用該方法從僅具有兩個(gè)簽名交易的比特幣硬件錢包中提取私鑰。該漏洞可能影響所有硬件錢包型號(hào)，但只有受害者被誘騙下載惡意固件時(shí)才會(huì)起作用?！窪ark Skippy」的此前版本需要數(shù)十筆交易才可發(fā)揮作用，新版本的「Dark Skippy」僅需要幾筆交易也可以執(zhí)行。此外，即使用戶依賴單獨(dú)設(shè)備生成助記詞，也可以執(zhí)行攻擊。該披露報(bào)告由 Lloyd Fournier、Nick Farrow 和 Robin Linus 發(fā)布。Fournier 和 Farrow 是硬件錢包制造商 Frostsnap 的聯(lián)創(chuàng)，而 Linus 是比特幣協(xié)議 ZeroSync 和 BitVM 的聯(lián)合開(kāi)發(fā)者。

如何用2個(gè)簽名破解你的硬件錢包私鑰？如何避免被攻擊？近期，海外加密安全圈炸鍋了！又一個(gè)改進(jìn)的硬件錢包破解手段被披露，速度更快、效率更高。難道黑客和白帽們也在搞“奧運(yùn)”？今天腳本之家小編給大家分享一篇OneKey給大家?guī)?lái)的黑客是如何破解硬件錢包的？作者將用盡量簡(jiǎn)單的語(yǔ)言為你解釋這一切。大家一起看看吧！

1. 黑客是如何破解硬件錢包的？

1. 刷入惡意固件：攻擊者將惡意固件刷到你的硬件錢包上。

2. 發(fā)送交易：黑客使用這個(gè)帶有惡意固件的硬件錢包發(fā)送比特幣交易。惡意固件會(huì)將你的助記詞通過(guò)低隨機(jī)性簽名的方式“嵌入”到這筆交易中，而這筆交易會(huì)公開(kāi)存儲(chǔ)在區(qū)塊鏈上。

3. 提取助記詞：攻擊者在區(qū)塊鏈上找到你的交易，運(yùn)行特殊算法，從中提取出你的比特幣助記詞。

4. 盜取比特幣：拿到助記詞后，攻擊者就能訪問(wèn)并盜走你的比特幣。

2. 這個(gè)攻擊算法的原理是什么？

要理解這個(gè)算法，你需要對(duì) BTC 轉(zhuǎn)賬有些了解。如果你不是那種愛(ài)刨根問(wèn)底的好奇寶寶，可以直接跳到下一部分，了解如何避免被攻擊。

在進(jìn)行比特幣轉(zhuǎn)賬前，你需要準(zhǔn)備交易數(shù)據(jù)，包括交易的輸入（即你要花費(fèi)的比特幣來(lái)源）和輸出（你要將比特幣轉(zhuǎn)到哪里）。隨后，通過(guò)哈希算法計(jì)算出消息哈希值，這是需要簽名的數(shù)據(jù)摘要，可理解為“濃縮的交易數(shù)據(jù)”。

關(guān)鍵步驟：簽名

接下來(lái)是重頭戲：你需要對(duì)這個(gè)交易數(shù)據(jù)進(jìn)行簽名。以橢圓曲線數(shù)字簽名算法（ECDSA）為例，你需要結(jié)合一個(gè)內(nèi)部隨機(jī)數(shù) k 來(lái)生成簽名結(jié)果。

隨機(jī)數(shù) k 的引入是為了確保每次簽名的唯一性和安全性。如果每次使用相同的隨機(jī)數(shù) k，即便你簽署的消息（交易）不同，生成的簽名可能會(huì)出現(xiàn)規(guī)律，從而被攻擊者通過(guò)數(shù)學(xué)分析破解你的私鑰。

因此，每次都使用一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù) k，可以確保每次生成的簽名都是獨(dú)一無(wú)二的，即使對(duì)同一個(gè)消息進(jìn)行多次簽名，結(jié)果也會(huì)不同。

最后，礦工會(huì)驗(yàn)證并將交易打包廣播到區(qū)塊鏈。

黑客如何利用弱隨機(jī)數(shù)攻擊？

雖然無(wú)法直接從加密芯片上讀取私鑰，但如果黑客能修改你的固件里的隨機(jī)算法，使隨機(jī)數(shù) k 不再隨機(jī)，那么通過(guò)幾次簽名后，便可以通過(guò)鏈上廣播的信息反推出你的私鑰。

在 Dark Skippy 中，黑客將這個(gè)需求降低到只需 2 個(gè)簽名（對(duì)于 12 個(gè)助記詞）或 4 個(gè)簽名（對(duì)于 24 個(gè)助記詞）即可破解私鑰。這比以往的方法更高效。

3. 如何避免被攻擊？

這類攻擊成功的關(guān)鍵在于：黑客成功拿到了用戶的硬件錢包，并植入了惡意固件。

所以，建議采取以下防護(hù)措施：

1. 確保硬件錢包的安全

• 防供應(yīng)鏈攻擊：確保硬件錢包從出廠、運(yùn)輸直到你的手里，未被第三方碰過(guò)?，F(xiàn)在多家硬件錢包品牌，包括 OneKey，都有多層防拆封設(shè)計(jì)，確保如果有拆封痕跡能夠立即發(fā)現(xiàn)。

• 錄像開(kāi)箱：建議您從收到貨開(kāi)始全程錄像開(kāi)箱，作為售后依據(jù)。

• 保管好錢包：開(kāi)始使用后，確保硬件錢包不會(huì)被他人接觸，以防被惡意修改。

2. 確保固件代碼的安全

• 從官網(wǎng)渠道下載更新：確保你從官方渠道下載固件更新。

• 做好校驗(yàn)工作：不同廠商的措施不一。以 OneKey 為例，我們的軟件和硬件代碼是開(kāi)源的，并通過(guò)了知名安全機(jī)構(gòu)的審計(jì)。OneKey 最新硬件采用多顆軍工級(jí)保密 EAL 6+ 芯片，機(jī)器和 App 會(huì)自動(dòng)校驗(yàn)固件，非官方固件的簽名會(huì)被檢測(cè)到并硬抹除助記詞數(shù)據(jù)。

4. 總結(jié) 

無(wú)論如何，如果硬件錢包一旦丟失或落入黑客手中，建議立即啟用備份助記詞，盡快轉(zhuǎn)移資產(chǎn)，確保萬(wàn)無(wú)一失。相比助記詞觸網(wǎng)存儲(chǔ)和釣魚 攻擊，這個(gè)風(fēng)險(xiǎn)仍然較小。

以上就是腳本之家小編給大家分享的如何用2個(gè)簽名破解你的Dark Skippy硬件錢包私鑰？如何避免被攻擊的詳細(xì)解讀了，希望大家喜歡！

你可能感興趣的文章

• 

  如何選擇和使用冷錢包？硬件錢包推薦

  由于各種原因由此造成加密貨幣資產(chǎn)丟失,交易所跑路、錢包監(jiān)守自盜都容易導(dǎo)致資產(chǎn)丟失，所以人們對(duì)冷錢包的需求急劇增加，想通過(guò)冷錢包保管加密資產(chǎn),然而，市場(chǎng)上有許多不同…

  2024-06-29
• 

  2024年硬件錢包排行榜分享(靠譜的硬件錢包)

  加密貨幣錢包是存儲(chǔ)用戶貨幣的重要工具，硬件錢包和軟件錢包有所不同，能更好地存儲(chǔ)用戶的資產(chǎn)，并且擁有物理隔離，這里就為大家簡(jiǎn)單介紹一下，會(huì)根據(jù)小編所知的盡可能推薦…

  2024-07-02
• 

  Ordz Games比特幣掌機(jī)BitBoy預(yù)購(gòu)價(jià)500美元！整合鏈游、硬件錢包

  比特幣鏈游項(xiàng)目Ordz Games本月初宣布將推出游戲?qū)嶓w機(jī)「BitBoy One」，整合了比特幣鏈游、邊玩邊賺屬性及硬件錢包等,更多詳細(xì)資訊請(qǐng)看下面正文…

  2024-04-15
• 

  硬件錢包對(duì)比 Ledger、Onekey、Trezor，我該選哪個(gè)

  市面上常見(jiàn)硬件錢包有 imKey、Ledger、Trezor、庫(kù)神、Cobo 等,各家硬件錢包的外觀設(shè)計(jì)、交互連接方式、后端軟件架構(gòu)不盡相同，這里推薦的這三款硬件錢包希望大家多對(duì)比或者…

  2024-04-17
• 

  Ledger和Trezor硬件錢包哪個(gè)好？哪個(gè)更安全些？

  Ledger和Trezor兩款硬件錢包是目前市場(chǎng)上最受歡迎的數(shù)字貨幣存儲(chǔ)設(shè)備,這兩款錢包雖然功能相似，但在細(xì)節(jié)方面存在著差異,那么，Ledger和Trezor哪個(gè)好？哪個(gè)更安全些？…

  2024-01-17
• 

  區(qū)塊鏈錢包中的硬件錢包、冷錢包、熱錢包、觀察錢包、多簽錢包、插件錢

  很多朋友第一次知道虛擬貨幣錢包，但里面有太多的選擇，我們將比較和回顧最流行的區(qū)塊鏈錢包，以幫助您選擇適合您需求的一款…

  2023-12-20
• 

  什么是硬件錢包？Ledger評(píng)測(cè)與開(kāi)箱使用教程

  我們今天講的硬件錢包就是屬于冷錢包，它是一個(gè)類似 U 盾的設(shè)備，價(jià)格通常在 400～1500 人民幣左右；當(dāng)然網(wǎng)上也有很多教程教大家用一個(gè)舊手機(jī)去自制冷錢包，這樣子不花一分…

  2023-12-17
• 

  硬件錢包和軟件錢包有什么區(qū)別？ 一文搞懂硬件錢包和軟件錢包的區(qū)別

  硬件錢包和軟件錢包是加密貨幣存儲(chǔ)和管理的兩種常見(jiàn)方式,它們之間有一些重要的區(qū)別，包括安全性、易用性和可移植性,那么究竟硬件錢包和軟件錢包有什么區(qū)別？下面就讓小編為…

  2023-11-15
• 

  硬件錢包哪個(gè)好？ 2023最新硬件錢包排名介紹

  硬件錢包是一種專門設(shè)計(jì)用于安全存儲(chǔ)加密貨幣私鑰的物理設(shè)備,與在線錢包或軟件錢包相比，硬件錢包具有更高的安全級(jí)別，可以提供更好的保護(hù)措施來(lái)防止私鑰被泄露,很多投資新…

  2025-04-30
• 

  哪款硬件錢包好用？2023年最好用的硬件錢包推薦

  這幾年時(shí)不時(shí)會(huì)聽(tīng)到有朋友的虛擬資產(chǎn)被盜的消息，令人覺(jué)得非常惋惜,其實(shí)安全保管加密資產(chǎn)也很簡(jiǎn)單，那就是選擇適合自己的硬件錢包，離線冷存儲(chǔ)私鑰是非常安全的,那么什么硬…

  2023-10-18