比特币可以用来兑现,可以兑换成大多数国家的货币。使用者可以用比特币购买一些虚拟物品,比如网络游戏当中的衣服、帽子、装备等,只要有人接受,也可以使用比特币购买现实生活当中的物品。与大多数货币不同,比特币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为,并使用密码学的设计来确保货币流通各个环节安全性。 由于脑钱包简单易用,很多比特币初学者在刚接触比特币时喜欢使用脑钱包模式来储存密码,但是脑钱包所使用的密码真的安全么? 研究人员发现,近期大约有一千余个比特币脑钱包被盗。据统计,网络犯罪分子目前已成功窃取了价值103,000美金的比特币。 可能有很多用户并不了解比特币脑钱包到底是什么。脑钱包这一概念指的是,在用户的脑袋中通过记忆来保存比特币的存取密码。密码会通过一个哈希算法或者密钥衍生算法(例如SHA256)转换成一个长度为256位的私钥。这个私钥可用于计算出比特币的最终地址。 在此之前,人们曾错误地认为这种方法是非常安全的,因为恶意软件是无法窃取用户私钥的。但是现在有一名专家证实,比特币脑钱包实际上并不安全,因为攻击者可以轻而易举地破译脑钱包密码。研究人员解释称,脑钱包所使用的密码并没有加salt值,而且明文密码也只经过了一轮哈希迭代处理。这也就使得攻击者可以轻而易举地破解脑钱包密码。而现在另一个关键的问题就在于,存储在比特币数据区块链(Blockchain)中不安全的哈希密码将会给网络犯罪分子提供大量有价值的信息。 安全研究人员Ryan Castellucci曾在去年的DEF CON大会上向全世界演示了如何破解比特币脑钱包: “我们在对脑钱包的加密方式进行了研究和分析之后发现,由于比特币的数据区块链采用的是弱密钥,所以这不仅给我们的攻击提供了机会,而且也使得我们的扫描效率提升了很多。” 现在,塔尔萨大学,斯坦福大学和南卫理公会大学的研究人员发现了一种破解脑钱包密码的新方法,这种新方法比Castellucci所描述的攻击方法要快很多。 研究人员还就此发表了一篇论文,并在文中介绍了他们这一新型、快速、高效的比特币密钥恢复攻击技术。这一技术相较于Castellucci所发现的技术而言,在速度和效率上要高出2.5倍之多。 安全研究人员总共对大约三千亿个密码进行了分析,并且发现,在2011年9月至2015年8月之间,只有不到一千个比特币脑钱包曾被使用过。 研究人员在他们所发表的报告中写到:“在这篇文章中,我们报告了对比特币脑钱包密码情况所进行的首次大范围调查结果。在对密码词汇进行了分析之后,我们对大约3000亿个密码进行了评估和分析。令人惊讶的是,在研究人员进行了更加深入地分析之后,我们发现在2011年9月至2015年8月之间,只有884个比特币脑钱包曾被使用过,其总价值大约为十万美金。” 研究人员解释称:“我们的研究结果显示,无论在任何情况下,活跃的攻击者都能够迅速地从比特币脑钱包中窃取钱财。”目前,总共有价值大约十万美金的比特币存储在脑钱包中,其中有十个最有价值的钱包,这十个钱包的总价值占了十万美金中的百分之七十五。很多脑钱包仅在几分钟之内就被攻击者榨干了,而那些存有更多钱的比特币钱包则被清空得更快,几乎所有的钱包都在二十四小时内被取空了。 在我们的研究过程中,所有的密码词汇都可以从字典中查询得到,然后我们在把这些密码与比特币地址进行比较,就可以找出比特币脑钱包所使用的密码了。 经过专家鉴定,在884个比特币脑钱包中总共存储了1806个比特币,其总价值大约为十万美金。专家还发现,其中只有21个比特币脑钱包没有被网络犯罪分子所榨干。 比特币账户可以在几分钟甚至几秒钟之内就被犯罪分子取空,而这一发现也引起了安全人员的恐慌。而且研究人员还发现,那些存储了巨额钱财的比特币账号同样没有采用更加健壮的密码来进行保护。 研究人员还说到:“在我们所发现的比特币账号中,只有21个账户没有被犯罪分子清空,而其余的账户都在24小时之内被清空了,大多数账户都是在几分钟之内就被洗劫一空。” 安全专家还对这些脑钱包的比特币交易数据进行了分析,并且发现其中有14个交易实体受到了攻击的影响。 除此之外,研究人员还在他们的报告中写到:“在犯罪分子所使用的drainer(攻击者用于从比特币账户中挖取比特币的工具)中,只有少数drainer效率较高,而其余drainer效率较为低下。效率最高的四个drainer总共挖取了大约35000美元的比特币,而其他drainer所挖取到的钱数并不多。比如说,其中有一个drainer从78个不同的脑钱包中窃取了比特币,但其所挖取到的比特币价值仅为62美元。” 该研究小组将会把他们的研究成果通过论文公布出来,论文标题为“比特币脑钱包的安全分析”。该论文将会在2016年金融加密与数据安全大会上发表。 |