保護你的資產-私鑰泄露篇

2022-12-31 05:12:22

前言

進入到WEB3的世界,毫無疑問我們離不开一個錢包,創建你的第一個錢包並想辦法保存個人助記詞的場景是否仍歷歷在目?

私鑰是助記詞的子集,也是一個錢包地址唯一的管理映射。有了私鑰,任何人就有了打开其管理地址的潘多拉魔盒鑰匙。

當你泄露了你的私鑰/助記詞,也就等於泄露你的"寶藏"。因此,私鑰的泄露將導致錢包陷入被動狀態,而一些狡猾的黑客也會用過各種手段嘗試獲取你的私鑰並轉移你的個人資產,本期就來和大家探討一下私鑰泄露的相關知識。

私鑰

對於一個EOA账戶,帳戶由公鑰和私鑰加密對組成。 其作用在於證明交易實際上是由發送者籤名的,並防止僞造。 對於個人而言,私鑰是用來籤名交易的密鑰,所以它用於保障用戶對帳戶相關的資金進行管理。 您從未真正持有加密貨幣,您持有私鑰–資金總是在以太坊的账本上。

私鑰泄露

由於私鑰長度較長,同時在使用錢包在WEB3世界的各種交互時,總會有意無意地使用到自己账戶的私鑰進而將其在網絡上進行一些傳輸,可能的形式包括但不限於如下形式:

  • 需要將私鑰轉發到自己的其他設備進行備份

  • 需要將私鑰防止在自己寫的代碼之中

  • 需要將私鑰發送給可信任的朋友

  • 需要將私鑰存儲在網盤或書寫在實體本子上

  • 使用了其他用戶公布出來的私鑰還原的账戶

從上述對於私鑰的解釋我們知道,對於一個账戶的資產而言,擁有該账戶的私鑰就將擁有該账戶的管理權。與此同時,如果用戶泄露了自己的账戶私鑰,黑客將可以"絲滑地"轉走其账戶內的任意資產。

私鑰泄露後將發生什么

首先,對於一個私鑰而言,例如我們可以在metamask中利用私鑰導入還原地址账戶:


      保護你的資產-私鑰泄露篇

若用戶A在上述不經意間通過自己寫的代碼將私鑰泄露在了互聯網上,例如如下的公共平臺:


      保護你的資產-私鑰泄露篇

本文僅供相關手法披露與學習交流,請勿使用相關方法進行任何危險操作。本文也僅在自己創建的账戶下進行

假設私鑰泄露後--privateKey:

0xe096cbf3fd506f950dd323a459bd394b7bf1021607262d10bbde492d43a1f09f

我們可以通過私鑰直接還原账戶地址:

還原後地址: 0x53e88EA52EEab7F946A0E8a7275954C9F388f1Ca


      保護你的資產-私鑰泄露篇

也可以通過在metamask中導入账戶直接控制該账戶進行相應的轉账

導入後發現了該地址在Goerli Testnet Network存在測試ETH,便可直接將其轉移:


      保護你的資產-私鑰泄露篇

進階操作

在黑暗森林中,總會出現更多思路讓你意想不到 。

對於以下的方式在非常多的平臺上已實現了自動化轉账,若您的私鑰被泄露在公开平臺上,將在極短的時間內轉走該账戶的資產。

下圖是針對波場鏈的自動化代碼:


      保護你的資產-私鑰泄露篇

實際的過程中,攻擊者甚至已實現了多種搶跑技術,如MEV技術/監控交易池+提高gas。

常見的,網絡上目前也流傳着各種對於私鑰/助記詞的釣魚,當你打开一個網頁,metamask被調起是一個很常見的事。

攻擊者利用這個特性設計了不計其數的釣魚網站如https://chrome-extension-nkbihfbeogaeaoehlefn.aptoslabs.me/index2.html


      保護你的資產-私鑰泄露篇

當你輸入你的助記詞,你的資產將被完全轉走。

類似的,危險的第三方軟件也成為攻擊者可能盯上的目標,諸如前不久BitKeep的apk包被植入惡意的木馬用以竊取錢包在創建後生成的助記詞並上載到攻擊者服務器:


      保護你的資產-私鑰泄露篇

除此之外,還存在一些地址账戶會被主動公开用於釣魚的攻擊手法,其具有幾類手法:

  1. 公开私鑰的账戶存在USDT,但資產被官方拉黑,ERC20無法被轉走(0x4DE23f3f0Fb3318287378AdbdE030cf61714b2f3)

    
      保護你的資產-私鑰泄露篇

  2. 公开私鑰的账戶存在Token,該Token在區塊鏈瀏覽器中顯示價格極高,但實際的池子流動性已枯竭(池子: 0x97bfc7d3312cC899CD6f72BCcEFf72Fd524f9E34)

    
      保護你的資產-私鑰泄露篇

  3. 公开私鑰的账戶存在Token, Token存在流動性,但ERC20改寫了普通用戶的approve/transferFrom操作導致賣出操作的Gas被刻意提高制造CHI代幣(釣魚Token:0xA7255C85232A42B5c602ed66c319dA9af8433bb3)

    
      保護你的資產-私鑰泄露篇

對手可通過公布此類账戶的私鑰引誘其他用戶去向該地址裏轉账平臺幣用於支付手續費如ETH。而實際的账戶已處於監控軟件的監控之下,當平臺幣轉入,不會等到用戶有時間反應將直接被轉走(通常轉走會與轉入的交易的區塊相同)。

後記

本文通過具體的用例展示了在區塊鏈世界中若私鑰泄露,用戶的資產將以怎樣的形式被轉走。同時還給大家介紹了幾類黑暗森林中的釣魚進階手法。希望讀者在遇到這些"陷阱"時能夠更好的分辨,同時更為有效和安全的保護自己的私鑰不被泄露。盡管處在熊市的時期,黑客也絕不會心慈手軟,因此需要大家更加謹慎小心的保護好個人資產!

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

btc日內再次下跌 短线應當如何處理?

盡管以太坊現貨ETF獲批是個好消息,但市場反應卻不如預期。在消息公布後,以太坊價格出現了小幅下跌,...

加密蓮
137 4個月前

7月23日、BTC(合約)ETH(合約)行情分析及操作策略

昨日收益還是不錯的,日內給出的現價空單分別止盈我們目標點位,恭喜跟上的朋友喫肉。時間一晃到月底了,...

倪老師
137 4個月前

幣圈院士:血與淚的教訓!交易者為何總是撞死在同一棵樹上?

幣圈院士談。交易市場中的幾種“死法” 在幣圈市場鱗次櫛比的海洋,風起雲湧,時常讓人感到驚手不及。在...

幣圈院士
142 4個月前

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC

7月23:Mt. Gox 比特幣錢包在市場緊縮的情況下轉移了價值 28.2 億美元的 BTC一個引...

168超神
135 4個月前

悅盈:比特幣68000的空完美落地反彈繼續看跌 以太坊破前高看回撤

一個人的自律中,藏着無限的可能性,你自律的程度,決定着你人生的高度。 人生沒有近路可走,但你走的每...

我是周悅盈
114 4個月前

btc完美盈利 晚間波動較大注意

昨日btc空單完美給到,最大化走出一千七百點空間~ btc: 日內开盤下跌繼續測試66000一线,...

加密蓮
124 4個月前