為什么丟失私鑰就等于丟失了一切
2016 年 8 月,我以 iOS 開(kāi)發(fā)者的身份加入 imToken 團(tuán)隊(duì),現(xiàn)在負(fù)責(zé) imToken 的產(chǎn)品運(yùn)營(yíng)工作。在這之前,我對(duì)區(qū)塊鏈涉及到的密碼學(xué)內(nèi)容,如算法推導(dǎo)、公私鑰對(duì)、橢圓曲線(xiàn)加密等知之甚少。我依然記得那種「偏見(jiàn)」帶來(lái)的痛苦感覺(jué),而這「偏見(jiàn)」源自于傳統(tǒng)互聯(lián)網(wǎng)賦予的慣性思維。
雖然我現(xiàn)在已經(jīng)了解了錢(qián)包原理,但相比之下,我更理解這項(xiàng)技術(shù)給小白用戶(hù)帶來(lái)的困擾,并一直致力于普及去中心化錢(qián)包知識(shí),盡可能幫助那些資產(chǎn)遭受損失的用戶(hù)。該系列文章以故事性為主,大家可以在茶余飯后慢慢閱讀,希望這些案件可以「敲醒」那些恬不在意的錢(qián)包用戶(hù),妥善管理自己的財(cái)產(chǎn)。
第一起案件
大約在 2017 年6月份,我接手了第一起盜幣案件,向我求助的用戶(hù)算幣圈早期的投資人。梳理后的對(duì)話(huà)內(nèi)容如下:
曉婷(化名):我有兩部手機(jī),之前通過(guò) iPhone 手機(jī)下載使用 imToken, 但是因?yàn)楦绿闊┝耍蛽Q了另一部 Android 手機(jī)。昨天我通過(guò) QQ 郵箱將私鑰通過(guò)郵件發(fā)送過(guò)去,然后直接導(dǎo)入了新的設(shè)備,就將這封郵件刪除了。然后今天中午我打開(kāi) imToken 時(shí)候,就發(fā)現(xiàn)所有資產(chǎn)被盜了,所有的幣都價(jià)值不菲,你可不可以幫幫我?
我:你是直接發(fā)送的明文私鑰嗎?
曉婷:是 Keystore。
我:Keystore 密碼呢?和郵件密碼是否一致?有沒(méi)有和 Keystore 一起管理?
曉婷:當(dāng)然沒(méi)有,這點(diǎn)安全意識(shí)我還是有的。密碼沒(méi)有和 Keystore 放在一起,密碼不是常用的。..…
我:我覺(jué)得還是郵件傳輸私鑰導(dǎo)致你資產(chǎn)被盜的概率較大,你再仔細(xì)回想一下 Keystore 密碼和郵箱密碼的關(guān)聯(lián)性。
曉婷:Keystore 密碼雖然和郵箱密碼不一樣,但是有較強(qiáng)的關(guān)聯(lián)性。
很遺憾,由于第一次處理盜幣案件,經(jīng)驗(yàn)不足,沒(méi)能很好的分析資產(chǎn)流向,所以成了「懸案」。即便如此,我也可以大概率肯定是「郵箱」出賣(mài)了她的私鑰,由于 Keystore 密碼和 QQ 密碼的相關(guān)性,黑客極容易「暴力破解」,所謂「暴力破解」是一種密碼分析的方法,即將密碼進(jìn)行逐個(gè)推算,直到找出真正的密碼為止。
比如「曉婷」的 QQ 密碼為 xiaoting666 而 Keystore 密碼為 xiaoTIng888,那么黑客很快就可以通過(guò)密碼碰撞,通過(guò) xiaoTIng666 推導(dǎo)出 xiaoTIng888。
針對(duì)密碼安全這一點(diǎn),imToken 要求員工統(tǒng)一使用 1password 作為密碼管理工具,生成高強(qiáng)度的隨機(jī)密碼,避免使用和身份相關(guān)的密碼或短密碼,從而造成安全隱患。
這起案件只是開(kāi)啟我新身份的開(kāi)始,使我從一個(gè)開(kāi)發(fā)者,逐漸變成了「柯南」。在這之后,我處理了上百起丟幣盜幣案件,勘察過(guò)五花八門(mén)的盜幣手法,也經(jīng)歷過(guò)啼笑皆非的盜幣事件。這一系列故事的真正開(kāi)局是在 2017 年 9 月 4 日之后,我將在后續(xù)的連載中,向你娓娓道來(lái)。