什么是备份?不行逆?匿名性?……
约莫在 2017 年6月份,我接办了第一起盗币案件,向我求助的用户算币圈早期的投资人。梳理后的对话内容如下:
好比「晓婷」的 QQ 暗码为 xiaoting666 而 Keystore 暗码为 xiaoting888,那么黑客很快就可以通过暗码碰撞,通过 xiaoting666 推导出 xiaoting888。什么是助记词、私钥、Keystore?
晓婷:是 Keystore。
晓婷(假名):我有两部手机,之前通过 iPhone 手机下载利用 imToken, 可是因为更新太贫苦了,就换了另一部 Android 手机。昨天我通过 QQ 邮箱将私钥通过邮件发送已往,然后直接导入了新的设备,就将这封邮件删除了。然后本日中午我打开 imToken 时候,就发明所有资产被盗了,所有的币都代价不菲,你可不行以帮帮我?
固然我此刻已经相识了钱包道理,但对比之下,我更领略这项技能给小白用户带来的困扰,并一直致力于普及去中心化钱包常识,尽大概辅佐那些资产蒙受损失的用户。该系列文章以故事性为主,各人可以在茶余饭后逐步阅读,但愿这些案件可以「敲醒」那些恬不在意的钱包用户,妥善打点本身的工业。
第一起案件
针对暗码安详这一点,imToken 要求员工统一利用 1password 作为暗码打点东西,生成高强度的随机要码,制止利用和身份相关的暗码或短暗码,从而造成安详隐患。
很遗憾,由于第一次处理惩罚盗币案件,,履历不敷,没能很好的阐明资产流向,所以成了「悬案」。即便如此,我也能够率必定是「邮箱」出卖了她的私钥,由于 Keystore 暗码和 QQ 暗码的相关性,黑客极容易「暴力破解」,所谓「暴力破解」是一种暗码阐明的要领,即将暗码举办逐个推算,直到找出真正的暗码为止。知道地点和暗码为什么不能找回账户?
我:Keystore 暗码呢?和邮件暗码是否一致?有没有和 Keystore 一起打点?
我:你是直接发送的明文私钥吗?
我:我以为照旧邮件传输私钥导致你资产被盗的概率较大,你再仔细追念一下 Keystore 暗码和邮箱暗码的关联性。
晓婷:Keystore 暗码固然和邮箱暗码纷歧样,可是有较强的关联性。
2016 年 8 月,我以 iOS 开拓者的身份插手 imToken 团队,此刻认真 imToken 的产物运营事情。在这之前,我对涉及到的暗码学内容,如算法推导、公私钥对、椭圆曲线加密等知之甚少。我依然记得那种「成见」带来的疾苦感受,而这「成见」源自于传统互联网赋予的惯性思维。
晓婷:虽然没有,这点安详意识我照旧有的。暗码没有和 Keystore 放在一起,暗码不是常用的……
这起案件只是开启我新身份的开始,使我从一个开拓者,逐渐酿成了「柯南」。在这之后,我处理惩罚了上百起丢币盗币案件,勘测过八门五花的盗币手法,也经验过哭笑不得的盗币事件。这一系列故事的真正开局是在 2017 年 9 月 4 日之后,我将在后续的连载中,向你娓娓道来。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
