為什么丟失私鑰就等于丟失了一切

2016 年 8 月，我以 iOS 開(kāi)發(fā)者的身份加入 imToken 團(tuán)隊(duì)，現(xiàn)在負(fù)責(zé) imToken 的產(chǎn)品運(yùn)營(yíng)工作。在這之前，我對(duì)區(qū)塊鏈涉及到的密碼學(xué)內(nèi)容，如算法推導(dǎo)、公私鑰對(duì)、橢圓曲線(xiàn)加密等知之甚少。我依然記得那種「偏見(jiàn)」帶來(lái)的痛苦感覺(jué)，而這「偏見(jiàn)」源自于傳統(tǒng)互聯(lián)網(wǎng)賦予的慣性思維。

雖然我現(xiàn)在已經(jīng)了解了錢(qián)包原理，但相比之下，我更理解這項(xiàng)技術(shù)給小白用戶(hù)帶來(lái)的困擾，并一直致力于普及去中心化錢(qián)包知識(shí)，盡可能幫助那些資產(chǎn)遭受損失的用戶(hù)。該系列文章以故事性為主，大家可以在茶余飯后慢慢閱讀，希望這些案件可以「敲醒」那些恬不在意的錢(qián)包用戶(hù)，妥善管理自己的財(cái)產(chǎn)。

第一起案件

大約在 2017 年６月份，我接手了第一起盜幣案件，向我求助的用戶(hù)算幣圈早期的投資人。梳理后的對(duì)話(huà)內(nèi)容如下：

曉婷（化名）：我有兩部手機(jī)，之前通過(guò) iPhone 手機(jī)下載使用 imToken， 但是因?yàn)楦绿闊┝耍蛽Q了另一部 Android 手機(jī)。昨天我通過(guò) QQ 郵箱將私鑰通過(guò)郵件發(fā)送過(guò)去，然后直接導(dǎo)入了新的設(shè)備，就將這封郵件刪除了。然后今天中午我打開(kāi) imToken 時(shí)候，就發(fā)現(xiàn)所有資產(chǎn)被盜了，所有的幣都價(jià)值不菲，你可不可以幫幫我？

我：你是直接發(fā)送的明文私鑰嗎？

曉婷：是 Keystore。

我：Keystore 密碼呢？和郵件密碼是否一致？有沒(méi)有和 Keystore 一起管理？

曉婷：當(dāng)然沒(méi)有，這點(diǎn)安全意識(shí)我還是有的。密碼沒(méi)有和 Keystore 放在一起，密碼不是常用的。..…

我：我覺(jué)得還是郵件傳輸私鑰導(dǎo)致你資產(chǎn)被盜的概率較大，你再仔細(xì)回想一下 Keystore 密碼和郵箱密碼的關(guān)聯(lián)性。

曉婷：Keystore 密碼雖然和郵箱密碼不一樣，但是有較強(qiáng)的關(guān)聯(lián)性。

很遺憾，由于第一次處理盜幣案件，經(jīng)驗(yàn)不足，沒(méi)能很好的分析資產(chǎn)流向，所以成了「懸案」。即便如此，我也可以大概率肯定是「郵箱」出賣(mài)了她的私鑰，由于 Keystore 密碼和 QQ 密碼的相關(guān)性，黑客極容易「暴力破解」，所謂「暴力破解」是一種密碼分析的方法，即將密碼進(jìn)行逐個(gè)推算，直到找出真正的密碼為止。

比如「曉婷」的 QQ 密碼為 xiaoting666 而 Keystore 密碼為 xiaoTIng888，那么黑客很快就可以通過(guò)密碼碰撞，通過(guò) xiaoTIng666 推導(dǎo)出 xiaoTIng888。

針對(duì)密碼安全這一點(diǎn)，imToken 要求員工統(tǒng)一使用 1password 作為密碼管理工具，生成高強(qiáng)度的隨機(jī)密碼，避免使用和身份相關(guān)的密碼或短密碼，從而造成安全隱患。

這起案件只是開(kāi)啟我新身份的開(kāi)始，使我從一個(gè)開(kāi)發(fā)者，逐漸變成了「柯南」。在這之后，我處理了上百起丟幣盜幣案件，勘察過(guò)五花八門(mén)的盜幣手法，也經(jīng)歷過(guò)啼笑皆非的盜幣事件。這一系列故事的真正開(kāi)局是在 2017 年 9 月 4 日之后，我將在后續(xù)的連載中，向你娓娓道來(lái)。