مؤخراً شاهدت عمل جاكي شان الجديد الذي نال آراء إيجابية "捕风追影"، وهناك مشهد مثير للاهتمام - تم قفل أصول مشفرة بمئات المليارات من الدولارات هونغ كونغ في محفظة تتكون من 12 كلمة، والنهاية تبقى كلمة واحدة فقط غير معروفة.
لقد انتهيت من المشاهدة وجربت الأمر، ووجدت أن الرقم 10 والرقم 12 ليسا في مكتبة الكلمات المساعدة القياسية، من الواضح أن الكاتب كتب ذلك عن عمد لتجنب أن يقوم أحد بإعادة إنشاء المحفظة بناءً على الحبكة لارتكاب الاحتيال، فبعد كل شيء، فإن مثل هذه الاحتيالات على الشبكة ليست نادرة.
سيقوم المحتالون عمداً بكشف عنوان محفظة "لها رصيد" (عادة على سلسلة ترون، باستخدام آلية المالك)، لاستدراج الجميع لتحويل الغاز، والانتظار للحصول على الفريسة، وبمجرد تحويل الأموال، لن يمكن استعادتها مرة أخرى.
لكن الشيء المثير للاهتمام هنا هو أن الفيلم يقول إنه ينقصه كلمة واحدة أخيرة غير معروفة. لكن في العالم الحقيقي، تتبع عبارات الاسترجاع معيار BIP39، والذي يحتوي على 2048 كلمة فقط، مما يعني أن كسر الكود بشكل عنيف للكلمة الأخيرة سيكون لديه 2048 احتمال كحد أقصى. إذا قمنا بتقليص النطاق، مثلما هو معروف في الفيلم أن الحرف الأول هو "es"، فإن الاحتمالات ستكون أقل بكثير، ويمكن تجربتها في دقيقة واحدة.
ومع ذلك، السؤال الذي يستحق إعادة النظر فيه أكثر من الفيلم هو: ما هي العلاقة بين الكلمات المساعدة، والمفتاح الخاص، والمفتاح العام؟ لماذا يعني فقدان الكلمات المساعدة فقدان جميع الأصول؟
عبارة الاسترداد هي وسيلة النسخ الاحتياطي التي تتبع معيار BIP39، حيث يتم اختيار وتكوين 12 أو 18 أو 24 كلمة بشكل عشوائي من مجموعة من 2048 كلمة إنجليزية باستخدام خوارزمية.
بعد معالجة هذه المجموعة من الكلمات المساعدة بواسطة خوارزمية PBKDF2، سيتم إنشاء بذور (Seed)، ثم سيتم اشتقاق سلسلة من المفاتيح الخاصة بناءً على هذه البذور وفقًا لمعايير المسار مثل BIP32/BIP44، مما يؤدي إلى سلسلة من المفاتيح العامة/العناوين.
مجموعة من الكلمات المساعدة → توليد سلسلة من المفاتيح الخاصة → توليد سلسلة من المفاتيح العامة → الموافقة على سلسلة من العناوين
بعبارة أخرى:
عبارة المساعد = سلسلة المفاتيح، وغالباً ما تكون العلاقة بينها وبين المفتاح الخاص علاقة واحد إلى متعدد، نظرياً يمكن لمجموعة واحدة من عبارات المساعد أن تُشتق منها آلاف المفاتيح الخاصة؛
المفتاح الخاص = المفتاح، كل مفتاح خاص يCorresponds إلى حق استخدام عنوان واحد؛
المفتاح العمومي / العنوان = رقم الباب، يمكن أن يكون علنياً، يمكن للآخرين استخدامه لتحويل الأموال إليك؛
لذلك يمكن اعتبار عبارة الاسترجاع بمثابة "حزمة المفاتيح" الخاصة بك، وكل مفتاح خاص هو مثل مفتاح يمكنه فتح الباب، يستخدم لتوقيع وإثبات سيطرتك على عنوان محفظة معينة - عندما تقوم بإجراء معاملة، فإنك تستخدم المفتاح الخاص للتوقيع، وتخبر الشبكة بأكملها: "هذه المعاملة قد قمت بتفويضها".
ثانياً، هل يمكنني اختيار الكلمات المساعدة بنفسي؟
هل يمكن أن يشعر الأصدقاء بذلك: هل يمكنني جمع 12 كلمة بنفسي؟ مثل عيد الميلاد، أو الكلمة الإنجليزية المفضلة، أو اسم المعجب، سيكون هذا أكثر شخصية.
الإجابة هي: ممكن، لكن خطير للغاية.
لأن الأرقام العشوائية التي تولدها الحواسيب هي عشوائية حقيقية، بينما اختيار الكلمات من قبل البشر غالبًا ما يكون مصحوبًا بأنماط (مثل الكلمات الشائعة، الكلمات المعتادة، تفضيلات الترتيب)، مما يقلل بشكل كبير من مساحة البحث، مما يجعل كلمات المرور الخاصة بك أسهل في التخمين.
كان هناك بالفعل حدث أمني متعلق بـ "محفظة عشوائية زائفة"، حيث استخدمت بعض المحافظ خوارزميات عشوائية زائفة عند إنشاء كلمات المرور، مما أدى إلى نقص كبير في الإنتروبيا، مما سمح للقراصنة بالقيام بعمليات تفتيش شاملة وكسرها بشكل مباشر - في عام 2015، استخدم مجموعة القراصنة Blockchain Bandit مولد الأرقام العشوائية المعطل وثغرات البرمجيات، بحثًا منهجيًا عن المفاتيح الخاصة ذات الأمان الضعيف، ونجحوا في اكتشاف أكثر من 700,000 عنوان محفظة ضعيفة، وسرقوا أكثر من 50,000 ETH منها.
بالطبع، بعض المهووسين سيستخدمون النرد (يجب التأكد من أن النرد متوازن بما فيه الكفاية) لرمي أرقام عشوائية، ثم تحويلها إلى قائمة كلمات BIP39، وهذا هو ما يسمى بالأمان اليدوي، ولكن بالنسبة لمعظم الناس، لا داعي لتعقيد الأمور، بل من السهل أن يحدث خطأ.
ثالثًا، هل يمكننا استخدام القوة لتفجير محفظة V God أو محافظ الحيتان الأخرى؟
لقد تخيلت هذا السؤال في السنوات الماضية، وتصورت أنه في يوم من الأيام سأقوم بإنشاء عنوان محفظة، وعندما أنظر إليه أجد فيه أكثر من مليون قطعة من ETH، وفي瞬ة واحدة أكون حرًا ماليًا، وأسرق بيت أحد الحيتان.
لا بد من القول أن مجرد التفكير في الأمر مغري للغاية. لكن الواقع هو: الاحتمال يكاد يكون صفراً.
لماذا؟ لأن عدد التركيبات الممكنة للكلمات المساعدة قد تجاوز بالفعل خيال البشر:
12 كلمة: عدد التوليفات الفعالة حوالي 2¹²⁸ ≈ 3.4 × 10³⁸
24 كلمة: عدد التوليفات الفعالة حوالي 2²⁵⁶ ≈ 1.16 × 10⁷⁷
ما هو مفهوم هذا الحجم؟
نحن جميعًا نعلم أن الرمال على الأرض كثيرة جدًا لدرجة أنه لا يمكن عدها، لكن العلماء قدروا قيمة تقريبية، بافتراض أن جميع الشواطئ والصحاري على الأرض، فإن العدد الإجمالي للرمال يبلغ حوالي 7.5×10¹⁸ حبة، وهذا يعني أيضًا:
عدد التوليفات الفعالة المكونة من 12 كلمة يعادل 4.5 × 10¹⁹ مرة من إجمالي رمل الأرض.
عدد الأشكال الصالحة المكونة من 24 كلمة هو 1.5 × 10⁵⁸ مرة من إجمالي عدد الرمل على الأرض.
بعبارة أخرى، يبدو كما لو أن كل حبة رمل على الأرض قد تحولت إلى "أرض جديدة"، وفي كل أرض جديدة يوجد شاطئ ورمل، ثم عليك أن تجد تلك الحبة التي قمت بتمييزها مسبقًا من بين كل هذه الحبات الرملية مرة واحدة بشكل عشوائي.
هذا قد تجاوز بكثير نطاق ما يمكن للبشر تخيله.
لذلك، فإن احتمال كسر محفظة عن طريق القوة الغاشمة ليس "منخفضًا للغاية"، بل تحت المعرفة الحالية في الفيزياء والقدرات الحاسوبية، يساوي تقريبًا صفرًا. الاعتماد على "هجوم قاعدة البيانات" للثراء ليس أفضل من شراء تذكرة يانصيب، ففرصة الفوز أعلى بكثير.
العودة إلى إعداد الفيلم: إذا كان هناك بالفعل شخص واحد فقط يفتقر إلى كلمة واحدة من عبارة الاسترجاع، فمن الممكن حقًا محاولة ذلك من خلال التجربة العمياء.
أخيرًا، بعض نصائح الأمان حول المحفظة/عبارات الاسترداد/المفتاح الخاص:
يفضل استخدام محافظ غير مُدارة تم التحقق منها من خلال الزمن والسوق، ومراجعة الشيفرة المصدرية مثل MetaMask وTrust Wallet وSafePal، مع استخدام محافظ الأجهزة مباشرةً عند الحاجة.
عبارات الاسترداد والمفاتيح الخاصة، لا تقم أبداً بالتقاط لقطة شاشة، لا تخزنها في السحابة، لا تنسخها وتلصقها، لا ترسلها للآخرين؛
من الأفضل كتابة ذلك على الورق بالقلم (يمكن التفكير في استخدام لوح تذكاري من الفولاذ المقاوم للصدأ، مقاوم للرطوبة، والنار، والتآكل)، ووضعه في مكان آمن، مع إجراء نسخ احتياطي في 2~3 أماكن متعددة؛
يمكنك نشر المفتاح العام/العنوان بكل أمان، فهو رقم منزلك، ولكن يجب الانتباه للتعرف على روابط الصيد.
يُنصح باستخدام أجهزة نظيفة لإدارة المحفظة، وعدم تثبيت إضافات أو تطبيقات غير معروفة.
تذكر هذه العبارة: أي شخص يطلب منك عبارة الاسترجاع، فهو 100% محتال.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
من "اصطياد الرياح و تتبع الظلال": 2048 كلمة تحدد تريليونات الأصول التشفيرية
كتبه: تايلر
مؤخراً شاهدت عمل جاكي شان الجديد الذي نال آراء إيجابية "捕风追影"، وهناك مشهد مثير للاهتمام - تم قفل أصول مشفرة بمئات المليارات من الدولارات هونغ كونغ في محفظة تتكون من 12 كلمة، والنهاية تبقى كلمة واحدة فقط غير معروفة.
لقد انتهيت من المشاهدة وجربت الأمر، ووجدت أن الرقم 10 والرقم 12 ليسا في مكتبة الكلمات المساعدة القياسية، من الواضح أن الكاتب كتب ذلك عن عمد لتجنب أن يقوم أحد بإعادة إنشاء المحفظة بناءً على الحبكة لارتكاب الاحتيال، فبعد كل شيء، فإن مثل هذه الاحتيالات على الشبكة ليست نادرة.
سيقوم المحتالون عمداً بكشف عنوان محفظة "لها رصيد" (عادة على سلسلة ترون، باستخدام آلية المالك)، لاستدراج الجميع لتحويل الغاز، والانتظار للحصول على الفريسة، وبمجرد تحويل الأموال، لن يمكن استعادتها مرة أخرى.
لكن الشيء المثير للاهتمام هنا هو أن الفيلم يقول إنه ينقصه كلمة واحدة أخيرة غير معروفة. لكن في العالم الحقيقي، تتبع عبارات الاسترجاع معيار BIP39، والذي يحتوي على 2048 كلمة فقط، مما يعني أن كسر الكود بشكل عنيف للكلمة الأخيرة سيكون لديه 2048 احتمال كحد أقصى. إذا قمنا بتقليص النطاق، مثلما هو معروف في الفيلم أن الحرف الأول هو "es"، فإن الاحتمالات ستكون أقل بكثير، ويمكن تجربتها في دقيقة واحدة.
ومع ذلك، السؤال الذي يستحق إعادة النظر فيه أكثر من الفيلم هو: ما هي العلاقة بين الكلمات المساعدة، والمفتاح الخاص، والمفتاح العام؟ لماذا يعني فقدان الكلمات المساعدة فقدان جميع الأصول؟
عبارة الاسترداد هي وسيلة النسخ الاحتياطي التي تتبع معيار BIP39، حيث يتم اختيار وتكوين 12 أو 18 أو 24 كلمة بشكل عشوائي من مجموعة من 2048 كلمة إنجليزية باستخدام خوارزمية.
بعد معالجة هذه المجموعة من الكلمات المساعدة بواسطة خوارزمية PBKDF2، سيتم إنشاء بذور (Seed)، ثم سيتم اشتقاق سلسلة من المفاتيح الخاصة بناءً على هذه البذور وفقًا لمعايير المسار مثل BIP32/BIP44، مما يؤدي إلى سلسلة من المفاتيح العامة/العناوين.
مجموعة من الكلمات المساعدة → توليد سلسلة من المفاتيح الخاصة → توليد سلسلة من المفاتيح العامة → الموافقة على سلسلة من العناوين
بعبارة أخرى:
عبارة المساعد = سلسلة المفاتيح، وغالباً ما تكون العلاقة بينها وبين المفتاح الخاص علاقة واحد إلى متعدد، نظرياً يمكن لمجموعة واحدة من عبارات المساعد أن تُشتق منها آلاف المفاتيح الخاصة؛
المفتاح الخاص = المفتاح، كل مفتاح خاص يCorresponds إلى حق استخدام عنوان واحد؛
المفتاح العمومي / العنوان = رقم الباب، يمكن أن يكون علنياً، يمكن للآخرين استخدامه لتحويل الأموال إليك؛
لذلك يمكن اعتبار عبارة الاسترجاع بمثابة "حزمة المفاتيح" الخاصة بك، وكل مفتاح خاص هو مثل مفتاح يمكنه فتح الباب، يستخدم لتوقيع وإثبات سيطرتك على عنوان محفظة معينة - عندما تقوم بإجراء معاملة، فإنك تستخدم المفتاح الخاص للتوقيع، وتخبر الشبكة بأكملها: "هذه المعاملة قد قمت بتفويضها".
ثانياً، هل يمكنني اختيار الكلمات المساعدة بنفسي؟
هل يمكن أن يشعر الأصدقاء بذلك: هل يمكنني جمع 12 كلمة بنفسي؟ مثل عيد الميلاد، أو الكلمة الإنجليزية المفضلة، أو اسم المعجب، سيكون هذا أكثر شخصية.
الإجابة هي: ممكن، لكن خطير للغاية.
لأن الأرقام العشوائية التي تولدها الحواسيب هي عشوائية حقيقية، بينما اختيار الكلمات من قبل البشر غالبًا ما يكون مصحوبًا بأنماط (مثل الكلمات الشائعة، الكلمات المعتادة، تفضيلات الترتيب)، مما يقلل بشكل كبير من مساحة البحث، مما يجعل كلمات المرور الخاصة بك أسهل في التخمين.
كان هناك بالفعل حدث أمني متعلق بـ "محفظة عشوائية زائفة"، حيث استخدمت بعض المحافظ خوارزميات عشوائية زائفة عند إنشاء كلمات المرور، مما أدى إلى نقص كبير في الإنتروبيا، مما سمح للقراصنة بالقيام بعمليات تفتيش شاملة وكسرها بشكل مباشر - في عام 2015، استخدم مجموعة القراصنة Blockchain Bandit مولد الأرقام العشوائية المعطل وثغرات البرمجيات، بحثًا منهجيًا عن المفاتيح الخاصة ذات الأمان الضعيف، ونجحوا في اكتشاف أكثر من 700,000 عنوان محفظة ضعيفة، وسرقوا أكثر من 50,000 ETH منها.
بالطبع، بعض المهووسين سيستخدمون النرد (يجب التأكد من أن النرد متوازن بما فيه الكفاية) لرمي أرقام عشوائية، ثم تحويلها إلى قائمة كلمات BIP39، وهذا هو ما يسمى بالأمان اليدوي، ولكن بالنسبة لمعظم الناس، لا داعي لتعقيد الأمور، بل من السهل أن يحدث خطأ.
ثالثًا، هل يمكننا استخدام القوة لتفجير محفظة V God أو محافظ الحيتان الأخرى؟
لقد تخيلت هذا السؤال في السنوات الماضية، وتصورت أنه في يوم من الأيام سأقوم بإنشاء عنوان محفظة، وعندما أنظر إليه أجد فيه أكثر من مليون قطعة من ETH، وفي瞬ة واحدة أكون حرًا ماليًا، وأسرق بيت أحد الحيتان.
لا بد من القول أن مجرد التفكير في الأمر مغري للغاية. لكن الواقع هو: الاحتمال يكاد يكون صفراً.
لماذا؟ لأن عدد التركيبات الممكنة للكلمات المساعدة قد تجاوز بالفعل خيال البشر:
12 كلمة: عدد التوليفات الفعالة حوالي 2¹²⁸ ≈ 3.4 × 10³⁸
24 كلمة: عدد التوليفات الفعالة حوالي 2²⁵⁶ ≈ 1.16 × 10⁷⁷
ما هو مفهوم هذا الحجم؟
نحن جميعًا نعلم أن الرمال على الأرض كثيرة جدًا لدرجة أنه لا يمكن عدها، لكن العلماء قدروا قيمة تقريبية، بافتراض أن جميع الشواطئ والصحاري على الأرض، فإن العدد الإجمالي للرمال يبلغ حوالي 7.5×10¹⁸ حبة، وهذا يعني أيضًا:
عدد التوليفات الفعالة المكونة من 12 كلمة يعادل 4.5 × 10¹⁹ مرة من إجمالي رمل الأرض.
عدد الأشكال الصالحة المكونة من 24 كلمة هو 1.5 × 10⁵⁸ مرة من إجمالي عدد الرمل على الأرض.
بعبارة أخرى، يبدو كما لو أن كل حبة رمل على الأرض قد تحولت إلى "أرض جديدة"، وفي كل أرض جديدة يوجد شاطئ ورمل، ثم عليك أن تجد تلك الحبة التي قمت بتمييزها مسبقًا من بين كل هذه الحبات الرملية مرة واحدة بشكل عشوائي.
هذا قد تجاوز بكثير نطاق ما يمكن للبشر تخيله.
لذلك، فإن احتمال كسر محفظة عن طريق القوة الغاشمة ليس "منخفضًا للغاية"، بل تحت المعرفة الحالية في الفيزياء والقدرات الحاسوبية، يساوي تقريبًا صفرًا. الاعتماد على "هجوم قاعدة البيانات" للثراء ليس أفضل من شراء تذكرة يانصيب، ففرصة الفوز أعلى بكثير.
العودة إلى إعداد الفيلم: إذا كان هناك بالفعل شخص واحد فقط يفتقر إلى كلمة واحدة من عبارة الاسترجاع، فمن الممكن حقًا محاولة ذلك من خلال التجربة العمياء.
أخيرًا، بعض نصائح الأمان حول المحفظة/عبارات الاسترداد/المفتاح الخاص:
يفضل استخدام محافظ غير مُدارة تم التحقق منها من خلال الزمن والسوق، ومراجعة الشيفرة المصدرية مثل MetaMask وTrust Wallet وSafePal، مع استخدام محافظ الأجهزة مباشرةً عند الحاجة.
عبارات الاسترداد والمفاتيح الخاصة، لا تقم أبداً بالتقاط لقطة شاشة، لا تخزنها في السحابة، لا تنسخها وتلصقها، لا ترسلها للآخرين؛
من الأفضل كتابة ذلك على الورق بالقلم (يمكن التفكير في استخدام لوح تذكاري من الفولاذ المقاوم للصدأ، مقاوم للرطوبة، والنار، والتآكل)، ووضعه في مكان آمن، مع إجراء نسخ احتياطي في 2~3 أماكن متعددة؛
يمكنك نشر المفتاح العام/العنوان بكل أمان، فهو رقم منزلك، ولكن يجب الانتباه للتعرف على روابط الصيد.
يُنصح باستخدام أجهزة نظيفة لإدارة المحفظة، وعدم تثبيت إضافات أو تطبيقات غير معروفة.
تذكر هذه العبارة: أي شخص يطلب منك عبارة الاسترجاع، فهو 100% محتال.