当前位置：首页 > 比特币新闻 > 正文

白帽黑客发布比特币脑钱包掠夺者，每秒可猜测13万个密码

来源：互联网时间：2015-08-14 13:40:00

hacker

脑钱包是什么？脑钱包是一种叠代类型的比特币钱包，其中密码并不是数字化进行存储，而是存储在用户的记忆当中。

脑钱包，其最初的设想，是让敏感的钱包数据能够实现离线，并使比特币地址更容易被记住，脑钱包所使用的，是单一的长密码和短语，将其转换成一个私钥，一个公钥以及一个地址。

脑钱包安全么？似乎并不安全，一位白帽黑客发布了一个工具，而其目的，正是为了说明脑钱包的不安全性。这种工具通过使用一种离线的攻击方式，就可以迅速地猜测到可能的密码，看看它们是否是正确的。

数字反欺诈公司White Ops的安全研究员 Ryan Castellucci公布了这项研究，指出脑钱包存在主要的缺陷。他强调说，最终的比特币地址是记录在区块链上，作为一个密码哈希散列。当密码哈希用于网站认证时，它会帮助你确定所提供的词或短语正确与否，这意味着这个数据可以被黑客用作寻找密码的参考。

8月7日在DEF CON 23大会（世界上最大的年度黑客大会之一）上， Castellucci发布了这款脑钱包解密工具，称之为Brainflayer（脑钱包抢夺者），它能够每秒猜测130,000个密码。根据Castellucci表示，该软件若在强大的计算机上进行运算，1美元的成本就可以核对5.6亿个短语密码。

Castellucci 表示，将这种暴力破解软件，应用到ASCII密码以及 XKCD密码时，那些四位常用单词组成的密码，一个僵尸网络就可以在一天内，核对出所有收到过资金的比特币地址。

在采访中，Castellucci 强调说，尽管他发布的工具可能被犯罪分子利用，他希望这个工具的发布，能够鼓励比特币用户去采用更好、更安全的做法。

在该工具发布之后，BrainWallet.org，一个使用JavaScript来生成用户私钥的网站，决定下线，此举受到了比特币安全社区成员的广泛好评。

项目的起源

根据Castellucci表示，这个项目的想法最初是在2013年中旬时出现，那时候比特币用户第一次发布了使用脑钱包的安全问题。

大约在同一时间，红迪网一位名为btcrobinhood的白帽黑客开始偷取脑钱包用户的资金，然后将这些偷来的资金返还给失主，试图揭露这项技术的漏洞。

受此启发，Castellucci创造了一个原始版本的掠夺者，其能够每秒猜测10,000个密码，这与现在的Brainflayer能力相去甚远。尽管如此，他回忆说，这个简单的程序仍然取得了出色的成绩。

当他回到自己的电脑面前时，他发现原型版本的Brainflayer已经检索了250 BTC，也就是说掠夺了价值2万美元的比特币。

Castellucci说自己面临了道德上的压力，他自己不知道该如何去做。

“有一段时间我停止了我的研究，”他说，“我希望这个问题能够自行消失，毕竟，很多专家都在说，脑钱包是坏的。”

但是问题并没有消失，于是，他决定重返他的研究。

他在最近的博客中写道：

“我的想法是，如果有人像我一样发现了一个bug，在与世界分享之前，他们会努力地去让这个bug得到修正。我过去做到了这一点，而且我认为这是正确的方法。”

建议

此外，他建议那些正在使用脑钱包的用户，可以考虑下WarpWallets，目前被认为是改善过的迭代产品。warpwallet的生成器可以使用Keybase，例如，可以让用户再也不必将他们的私钥保存或存储在任何地方，他们只需要挑选“一个很好的密码”就可以了。

Castellucci说，关于WarpWallets，用于散列函数的“盐”（salt）或者随机数据，会被集成到方程式。这意味着，如果一个用户的盐是他们的邮件地址，那么潜在的小偷想要偷取资金，就需要同时掌握这个盐以及密码。

当然，Castellucci还建议那些使用这种钱包的人，可以使用diceware生成口令，其生产的密码是通过一对骰子以及一个随机数生产器而产生。

“想要让人们抛弃使用例如他们狗的名字，以及他们的生日作为密码，似乎是一件非常困难的事情，Scrypt救不了那些使用’P@ssw0rd’为密码的人，” 他说，“很多人似乎认为，长密码就是安全的密码，我想我已经证明，这未必是对的。”

后续工作

当记者问他计划如何继续他的工作时，Castellucci说，他仍在考虑后续行动。

最后，他还感叹说：

“我还是担心会出现另一家大型的脑钱包网站，撇开加密货币，如果你发现了一堆不知道是属于谁的钱，你可以把它们交给警察，让他们来处理。但是加密货币，谁会去干这样的事情呢？这样的法律后果会是什么？我不知道。”

－－－－

原文：http://www.coindesk.com/new-cracking-tool-exposes-major-flaw-in-bitcoin-brainwallets/
作者：Pete Rizzo
编译：洒脱喜
责编：洒脱喜
稿源（译）：资讯

上一篇：经济学家罗伯特•墨菲：比特币通缩不是问题

下一篇：45天时限已到，NYDFS收到22份Bitlicense申请

免责声明：

1.本文内容综合整理自互联网，观点仅代表作者本人，不代表本站立场。

2.资讯内容不构成投资建议，投资者应独立决策并自行承担风险。

你可能感兴趣

贝佐斯最后一封股东信：宇宙希望你成为普通人，千万别让它成为现实2021-04-19 17:02
Props，让互联网与区块链无缝对接的「中间件」2021-04-19 17:02
Coinbase高管到底卖了多少股票？2021-04-19 16:03
通往未来之路：下一代互联网与Metaverse2021-04-19 16:03
央行前行长周小川谈比特币：要提醒，要小心2021-04-19 15:03
链上新知 |电子图片卖出7000万美金，让马斯克都来站台的NFT究竟是什么？2021-04-19 15:02
Crypto VC，LP怎么投？2021-04-19 13:03
周末比特币融资利率跌至-0.03%低点，为7个月以来最低水平2021-04-19 11:02