保護你的資產-私鑰泄露篇

前言

進入到WEB3的世界，毫無疑問我們離不开一個錢包，創建你的第一個錢包並想辦法保存個人助記詞的場景是否仍歷歷在目？

私鑰是助記詞的子集，也是一個錢包地址唯一的管理映射。有了私鑰，任何人就有了打开其管理地址的潘多拉魔盒鑰匙。

當你泄露了你的私鑰/助記詞，也就等於泄露你的"寶藏"。因此，私鑰的泄露將導致錢包陷入被動狀態，而一些狡猾的黑客也會用過各種手段嘗試獲取你的私鑰並轉移你的個人資產，本期就來和大家探討一下私鑰泄露的相關知識。

私鑰

對於一個EOA账戶，帳戶由公鑰和私鑰加密對組成。 其作用在於證明交易實際上是由發送者籤名的，並防止僞造。 對於個人而言，私鑰是用來籤名交易的密鑰，所以它用於保障用戶對帳戶相關的資金進行管理。 您從未真正持有加密貨幣，您持有私鑰–資金總是在以太坊的账本上。

私鑰泄露

由於私鑰長度較長，同時在使用錢包在WEB3世界的各種交互時，總會有意無意地使用到自己账戶的私鑰進而將其在網絡上進行一些傳輸，可能的形式包括但不限於如下形式：

• 需要將私鑰轉發到自己的其他設備進行備份

• 需要將私鑰防止在自己寫的代碼之中

• 需要將私鑰發送給可信任的朋友

• 需要將私鑰存儲在網盤或書寫在實體本子上

• 使用了其他用戶公布出來的私鑰還原的账戶

從上述對於私鑰的解釋我們知道，對於一個账戶的資產而言，擁有該账戶的私鑰就將擁有該账戶的管理權。與此同時，如果用戶泄露了自己的账戶私鑰，黑客將可以"絲滑地"轉走其账戶內的任意資產。

私鑰泄露後將發生什么

首先，對於一個私鑰而言，例如我們可以在metamask中利用私鑰導入還原地址账戶：

若用戶A在上述不經意間通過自己寫的代碼將私鑰泄露在了互聯網上，例如如下的公共平臺：

本文僅供相關手法披露與學習交流，請勿使用相關方法進行任何危險操作。本文也僅在自己創建的账戶下進行

假設私鑰泄露後--privateKey：

0xe096cbf3fd506f950dd323a459bd394b7bf1021607262d10bbde492d43a1f09f

我們可以通過私鑰直接還原账戶地址：

還原後地址: 0x53e88EA52EEab7F946A0E8a7275954C9F388f1Ca

也可以通過在metamask中導入账戶直接控制該账戶進行相應的轉账

導入後發現了該地址在Goerli Testnet Network存在測試ETH，便可直接將其轉移：

進階操作

在黑暗森林中，總會出現更多思路讓你意想不到 。

對於以下的方式在非常多的平臺上已實現了自動化轉账，若您的私鑰被泄露在公开平臺上，將在極短的時間內轉走該账戶的資產。

下圖是針對波場鏈的自動化代碼：

實際的過程中，攻擊者甚至已實現了多種搶跑技術，如MEV技術/監控交易池+提高gas。

常見的，網絡上目前也流傳着各種對於私鑰/助記詞的釣魚，當你打开一個網頁，metamask被調起是一個很常見的事。

攻擊者利用這個特性設計了不計其數的釣魚網站如https://chrome-extension-nkbihfbeogaeaoehlefn.aptoslabs.me/index2.html

當你輸入你的助記詞，你的資產將被完全轉走。

類似的，危險的第三方軟件也成為攻擊者可能盯上的目標，諸如前不久BitKeep的apk包被植入惡意的木馬用以竊取錢包在創建後生成的助記詞並上載到攻擊者服務器：

除此之外，還存在一些地址账戶會被主動公开用於釣魚的攻擊手法，其具有幾類手法：

1. 公开私鑰的账戶存在USDT，但資產被官方拉黑，ERC20無法被轉走(0x4DE23f3f0Fb3318287378AdbdE030cf61714b2f3)

   

2. 公开私鑰的账戶存在Token，該Token在區塊鏈瀏覽器中顯示價格極高，但實際的池子流動性已枯竭（池子: 0x97bfc7d3312cC899CD6f72BCcEFf72Fd524f9E34）

   

3. 公开私鑰的账戶存在Token, Token存在流動性，但ERC20改寫了普通用戶的approve/transferFrom操作導致賣出操作的Gas被刻意提高制造CHI代幣(釣魚Token：0xA7255C85232A42B5c602ed66c319dA9af8433bb3)

   

對手可通過公布此類账戶的私鑰引誘其他用戶去向該地址裏轉账平臺幣用於支付手續費如ETH。而實際的账戶已處於監控軟件的監控之下，當平臺幣轉入，不會等到用戶有時間反應將直接被轉走(通常轉走會與轉入的交易的區塊相同)。

後記

本文通過具體的用例展示了在區塊鏈世界中若私鑰泄露，用戶的資產將以怎樣的形式被轉走。同時還給大家介紹了幾類黑暗森林中的釣魚進階手法。希望讀者在遇到這些"陷阱"時能夠更好的分辨，同時更為有效和安全的保護自己的私鑰不被泄露。盡管處在熊市的時期，黑客也絕不會心慈手軟，因此需要大家更加謹慎小心的保護好個人資產！

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。