基于JavaScript钱包应用程序生成的比特币地址或存安全隐患

金色财经 比特币4月21日讯 一组研究人员发现,基于Javascript的钱包应用程序生成的旧比特币地址存在安全隐患。

 

基于JavaScript钱包应用程序生成的比特币地址或存安全隐患

研究人员发现,黑客可以利用Javascript缺陷,窃取存储在钱包应用程序生成的旧比特币地址中的比特币。使用密码暴力破解,网络犯罪分子可以获得这些比特币地址的私钥,并获取存放在其中的钱包和比特币所有权。 

Javascript SecureRandom()函数中的熵不足 

这个漏洞主要来自于生成比特币地址和私钥的Javascript SecureRandom()函数,比特币地址是一串以“1”或“3”开头的字母和数字组合代码,它指定了比特币支付的目的地,类似于电子邮件地址。私钥就像是密码,与比特币地址存在数学联系。 

来自Linux Foundation的一位匿名贡献者指出,JavascriptSercureRandom()函数并不是真正随机的(注:random是随机的含义)。此外,英国Unix系统专家大卫·格兰德(David Gerard)也发现了这个问题,并且在许多加密伙伴论坛上就该问题展开了讨论。 

研究人员之所以普遍认为这个函数并非是真正的随机,是因为它生成的加密密钥熵级别很低。熵指的是系统的随机程度,熵值越高,密码被暴力破解的难度就越大。 

大卫·格兰德认为,Javascript SercureRandom()函数生成的密钥熵值小于48位,因此其生成的密钥应该很容易被破解。 

获得更安全的比特币地址 

大卫·格兰德发现,2013年之前的BitAddress钱包服务和2014年之前的Bitcoinjs生成的许多比特币地址,很可能会受到这一漏洞的影响。大卫·格兰德还透露,目前使用GitHub熵的旧版软件库生成的钱包软件,可能也存在问题。 

伦敦大学学院计算机科学系研究员Mustafa Al-Bassam表示,许多旧的比特币钱包应用程序都使用jsbn.js加密库来生成比特币地址,2013年以前的版本很可能使用了易受攻击的SecureRandom()函数,而破解这些比特币地址的私钥需要大约一周时间就能完成。 

因此,大卫·格兰德建议拥有此类地址的比特币持有者使用较新的工具创建新地址,并且将资金从旧地址转移到新地址,以保证安全。

 

 

文章翻自btcmanager

网站模版

本文来源: 中华财经快报 文章作者: 佚名
    下一篇

尽管去年有传言称亚马逊AWS不打算推出区块链相关服务,但该公司却在去年十二月宣布与区块链联盟R建立了合作伙伴关系,而R3 Corda平台也成为了AWS上第一个区块链解决方案,允许用户使用AWS平台上的区块链分布式应用称新股直接开发应用。