教程网

您现在的位置是: 首页 > 百科

复制私钥反被盗,地址转账反丢币,区块链C端数据安全如何保障?

复制私钥反被盗,地址转账反丢币,区块链C端数据安全如何保障?
复制私钥反被盗,地址转账反丢币,区块链C端数据安全如何保障?近期,以太坊著名的浏览器扩展插件MetaMask被暴出现隐私泄漏的安全问题,可能让用户的以太坊地址在不知情的情况下被DAp

复制私钥反被盗,地址转账反丢币,区块链C端数据安全如何保障?近期,以太坊著名的浏览器扩展插件MetaMask被暴出现隐私泄漏的安全问题,可能让用户的以太坊地址在不知情的情况下被DApp开发方等第三方获得,事实上,MetaMask的问题本质上是私有数据权限过度开放的问题,为了用户体验而做了安全上的牺牲。类似的问题在Android App端也同样存在,特别在数字钱包、交易所这样的App使用中危害可能更大。

北京链安安全专家C00lMan介绍了如下场景:比如,当我们备份私钥,或者通过钱包地址进行转账时,需要把私钥信息或地址信息传输给其他App。大部分钱包App此时的策略是通过Android系统的剪贴板作为数据的传输媒介,这样做真的安全吗?答案是:不安全。

(Android系统剪贴板框架)

Android系统里的所有App都可以通过系统剪贴板进行复制、粘贴,而存储在剪贴板里的数据,所有的App都可以访问。一个App只要通过系统自带的接口,注册一个监听事件,当有新的数据存储到剪贴板时,这个App就能第一时间知道复制的数据是什么。

(注册剪贴板监听事件函数)

试想一下,如果此时你在钱包App里复制了你的私钥数据,注册了监听事件的App就能窃取你的私钥信息。

(钱包复制私钥界面)

上图为数字钱包导出私钥界面,说明了私钥保存需要注意的一系列安全提示,由于本文旨在说明安卓系统剪贴板的安全性问题,故对可能体现具体钱包品牌特征的界面做遮蔽处理。事实上,当你选择复制私钥的似乎,就触发了剪贴板监听事件。

(窃取私钥攻击示例)

上图可见,这一事件被监听后,我们可以读取剪贴板的内容,窃取私钥,让你的资产陷入极度危险的状况。

甚至,剪贴板中的内容还可以进一步修改,比如假设你复制的是转账目标地址,这个App可以通过先清空剪贴板所有的数据,然后写一个假的转账地址到剪贴板里,这样当你通过系统的“粘贴”功能去输入转账地址时,你其实输入的已经是一个假的地址,这时候就造成了钓鱼攻击,你转账的资金就被黑客窃取了,而这一切都是在神不知鬼不觉中完成的。

由此可见,剪贴板在应用之间共享数据带来了一定的便利性,但重要的数据是否应该通过剪贴板来传输呢?如何在保证便利性的同时,更好地保证用户重要数据的安全性呢?

对此,我们实际上可以采用一种安全数据剪贴板的方案。

据北京链安手机安全专家Zer0dMan介绍,在安全沙盒技术中,我们可以通过专门的安全技术将用户复制的数据进行高强度加密后存储到安全容器创建的一块内存区域中,该区域是与系统剪贴板隔离的,只有在安全沙盒中启动的区块链App才可以使用,而在沙盒之外的应用对此区域都无权访问。这种解决方案既保证了用户数据的安全,也达到了良好的用户体验效果。

作为点对点的电子现金代表,比特币因其有去中心化、不需要中央机构授权等特性而受人追捧和推崇,但与此同时也被一些犯罪分子所利用。

我们知道区块链上所有的交易信息都是公开透明的,发送比特币就是从一个地址发送到另一个地址,而这些地址都是由数字和字母组成,在地址与人没有对应前,比特币是匿名的,可一旦这种关系被联系上了,这时就不在具有匿名性。

比特币被盗还能找回来吗?揭秘暗网比特币反追踪工具?因此比特币是伪匿名的,一旦地址和人相关联了,那么数字资产信息就相当于被暴露,所以有些人就会特别担心这一点,就是基于这种需求,暗网上出现了可以帮助用户隐藏交易信息的服务,可以进一步的提高隐私和匿名性,这种工具叫做比特币混淆器。

举例来说,如果老王要给老李转10个BTC,但是他想隐藏交易信息,那么久可以使用比特币搅拌器,通过搅拌器这10个BTC将在不同的时间以随机的数量发送到不同的地址,这些地址还会进行多次交易,最后老李的地址就会陆续收到实际上是由老王转过来的10个BTC。

所以如果没有人知道老王和老李的交易,很难将老王和老李这两个人联系在一起,因此这笔交易信息就被进一步隐藏了。这种帮助使用者隐藏交易信息的混淆器按照原理可以分为两种,一种是集中式混淆器,一种是分布式混淆器。

集中式混淆

集中式混淆器所有交易都在网站的数据库内进行处理,在这种情况下,混淆器的作用是匹配不同的钱包地址和不同的金额,并将随机数量的比特币发送到每个地址,直到发送方请求发送的总金额到达指定地址。

这种混淆器使用起来简单方便,只需要在混淆器网站的表单中输入对应的地址,最后按下回车键即可。尽管如此,但是它的风险依然十分明显,因为它是集中处理的所以用户的数字资产就会存在被盗和丢失的可能性。

集中式混淆器包括MixerTumbler,BestMixer.io,Blender.io,BitcoinFog,GramShelix等。

分布式混淆

这种类型的混淆器不存在中间人是由不同的用户相互自由交换使用协议来达到混淆目的。

这种模式的有点是不存在中间机构,不存在集中式混淆的风险,但它的缺点是需要存在同样想要混淆交易的人,如果没有人或者人数不够就无法进行下去。

分布式比特币混淆器包括CoinJoin,SharedCoin和CoinSwap。

关于交易费用

目前大多数混淆器的服务费用都是按照混淆总量的百分比来收取服务费用,比例在1%~3%之间,但如果处理的比特币越多服务费用会相应降低。

关于混淆器

在2017年7月,当时世界上最大存在时间最长的比特币混淆器BitMixer宣布关站,原因美国政府发现大量的犯罪分子通过使用BitMixer来转移比特币,躲避当局的追踪,因此在这种局面下BitMixer宣布停止运营。

在其关闭之后又有许多的混淆器冒出市场,但值得警惕的是很多都是打着混淆器名义的骗局,实际上并不提供这种服务。按照现在市场上的混淆的做法,大多数使用混淆器的人都会选择多个混淆器多次混淆,这样就更加难以追踪。

有需求就有市场,虽然没有一个明确的数据来证明有多少人使用混淆器做违法犯罪的事情,但能肯定的是使用混淆器的做违法或灰色产业者居多,而现在监管随着监管的逐步渗透,以及以门罗达世等匿名币的普及程度逐渐加深,比特币混淆器的市场也得到了进一步的削弱。

 现如今,区块链已经成为全民关注的领域,不少企业也早已深入其中研究该技术的落地情况。很多人也知道比特币是区块链的产物,但目前仍有很大一部分人对比特币如何存放并不是很了解。今天小编和大家一起聊聊比特币地址,私钥还有公钥的那点事?这三个词虽然常见,但是很多人都不知道他们到底是什么,也不知道他们具体的联系。

一、比特币地址

比特币地址=银行卡号

这三者中比特币钱包地址是我们最常见的,它们是一串数字和字母的组合,看起来有点像乱码。钱包地址就像银行卡号,代表了你的比特币账户。通过交易所、比特币客户端和在线钱包都可以获得钱包地址。

二、私钥

私钥=银行卡号+银行卡密码

私钥类似于银行的账号密码,它的本质是一个随机数,私钥储存在钱包文件里,由钱包软件进行管理,下载了客户端的人就可以在钱包文件里找到私钥。只要有了私钥,就代表了你拥有了对应的比特币,并且能够使用这些比特币,所以保管好自己的私钥是非常重要的。

三、公钥

那么什么是公钥呢?给大家举个例子吧:假设小明要转一个BTC给他女朋友小红,小明就需要用私钥对这笔交易进行签名,但是其他人怎么才能知道小明拥有对这个BTC的使用权和所有权呢?其他人如何判断这笔交易是不是有效呢?小明在使用私钥对这笔交易进行签名时,会把自己的公钥也一起发送出去,大家看到了小明的公钥,就知道小明确实是拥有这个BTC,这笔交易是有效的。

四、比特币地址、公钥和私钥之间的关系

比特币是建立在密码学基础之上的,因此其地址也是匿名的,不包含所有者的任何信息。中本聪利用了椭圆曲线算法先产生比特币的私钥和公钥,然后将公钥的值再经过一系列数字签名运算就得出了我们所使用的比特币地址。

所以知道私钥就可以推算出公钥,但是这个推算是不可逆的,也就是说知道公钥是推算不出私钥的。

而钱包地址是由公钥经过一系列的运算后得出的字符串,这个过程同样也是不可逆的,知道地址也是推算不出公钥的。

在实际的交易过程中,我们通常使用比特币钱包的接收界面直接生成比特币地址。在转账时可以手动输入接收方的转账地址,也可以通过扫描接收方地址二维码完成交易。

在使用钱包时,有几个名词也必须深刻理解,不然就有可能造成区块链资产的损失,这几个名词为地址、密码、私钥、助记词、keystore。

若以银行账户为类比,这 5 个词分别对应内容如下:

地址=银行卡号

密码=银行卡密码

私钥=银行卡号+银行卡密码

助记词=银行卡号+银行卡密码

Keystore+密码=银行卡号+银行卡密码

Keystore ≠ 银行卡号

只要「私钥、助记词、Keystore+密码」有一个信息在,钱包就在。因此,备份好「私钥、助记词、Keystore+密码」最关键。

同时,只要「私钥、助记词、Keystore+密码」有一个信息泄漏出去,别人就拥有了你钱包的控制权,你钱包中的币就会被别人转移走。因此,「私钥、助记词、Keystore+密码」绝不能泄漏出去,一旦发现有泄漏的可能,就要立刻把里面的币转移走。

电子前沿基金会Electronic Frontier Foundation 称,所谓的“EARN IT”法案违反了在线信息的加密。

电子前沿基金会(EFF)正试图提醒公众注意一项法案,该法案试图终止对在线信息加密的行为,并呼吁阻止美国国会颁布该法案。

所谓的“EARN IT ”法案建议,即数字信息应首先通过政府监管的扫描软件,以便监控恶意犯罪活动。该法案由参议员 Lindsey Graham和Richard Blumenthal提出。

区块链作为对抗监管的措施

通过提供透明性和可追踪性以及安全性的技术,基于区块链的通信可能是避免通讯内容被其他人偷窥的一种方式。

一个应用的案例是,这种技术正在被记者和活动家用来规避世界各国的核查措施。

正如Cointelegraph 此前报道的那样,《南华早报》记者Sarah Zheng曾倚靠以太坊区块链,发表了一篇对一名医生的采访,这位医生向大家通报了冠状病毒的情况。

Zheng说,区块链使得用二维码、莫尔斯码和加密信息的输入成为可能,这些信息可以在社交网络上共享。但原文不能通过微信传播。

EARN IT

EARN IT法案具有一系列“最佳实践”,互联网企业将有望被纳入监管视野。EFF声称,第230条的保护将从任何未能遵守这些准则的网站上撤销。如果颁布,这份名单将由美国司法部长William Barr领导的政府委员会创建。

基金会说,Barr已经明确表示,他将完全禁止所有数字信息的加密。如果这项法案获得通过,执法部门就可以合法地访问个人之间在网上发送的任何通信。EFF澄清了Barr对法案的影响:

“这些团体不仅在委员会中拥有多数票,而且法案赋予Barr总检察长否决或批准进入最佳合规企业名单的权力。即使其他委员会成员不同意执法,Barr的否决权也会让他有能力强令他们遵照执行。”

反加密

尽管参议员Blumenthal正确地指出“加密”一词并没有出现在法案的任何地方,但EFF坚持认为,这项提案是对加密技术的“全面攻击”。

电子前沿基金会就“EARN IT”法案增加了以下内容:

“你不可能有一个信息被大量筛选屏蔽的互联网,也不可能有端到端的加密,就像你无法创建只能被好人使用的后门一样。”

如何转移以太坊ETH钱包数据?以太坊C盘数据转移教程,首先以太坊的数据保存在user用户名当中需要在硬盘的位置,一是可以备份你的私钥,而是可以删除钱包,还有其他的一些比较详细的操作来转移钱包数据。迁移首先要准备好挂载的硬盘,以阿里云为例:

阿里云硬盘挂载:

https://help.aliyun.com/document_detail/25446.html?spm=5176.100241.0.0.ybzvKe

linux挂载到实例:

https://help.aliyun.com/document_detail/25426.html?spm=5176.doc25446.2.3.cKypvm

因为数据比较大,如果硬盘满了,需要切换到新的大容量挂载硬盘。

1.停止核心运行

losf -i:8545

kill -s 9 线程号

2.先备份钱包数据:cp -r .ethereum/keystore ./keystore_backup

3.迁移数据:nohup mv .ethereum /mnt/ &

4.下载最新的geth(有必要的话)

https://geth.ethereum.org/downloads/

找到对应链接,wget之:wget https://gethstore.blob.core.windows.net/builds/geth-linux-amd64-1.7.2-1db4ecdc.tar.gz

解压之:tar -xzvf geth-linux-amd64-1.7.2-1db4ecdc.tar.gz

5.用指定目录的方式来运行eth核心

nohup ./geth --fast --cache=512 --rpc --rpcaddr 0.0.0.0 --rpcapi "db,eth,net,web3,personal" --datadir /mnt/.ethereum/ &

 1/3    1 2 3 下一页 尾页