Gần đây tôi đã xem tác phẩm mới được đánh giá cao của anh Jackie Chan mang tên "Bắt gió đuổi bóng", trong đó có một đoạn khá thú vị - hàng trăm tỷ HKD tài sản tiền mã hóa bị khóa trong một ví 12 từ, và chỉ còn lại một từ cuối cùng chưa biết.
Tôi đã thử nghiệm sau khi xem xong, và kết quả là tôi phát hiện rằng vị trí thứ 10 và vị trí thứ 12 không có trong bộ từ ghi nhớ tiêu chuẩn, rõ ràng là biên kịch đã cố ý viết như vậy, để tránh trường hợp có người phục hồi ví theo kịch bản để lừa đảo, vì những trò lừa đảo tương tự trên chuỗi không phải là hiếm.
Kẻ lừa đảo sẽ cố ý rò rỉ một địa chỉ ví "có số dư" (thường là trên chuỗi Tron, sử dụng cơ chế Owner), dụ dỗ mọi người chuyển vào Gas, chờ đợi để thu lợi, một khi tiền đã chuyển vào thì sẽ không bao giờ lấy lại được.
Nhưng điểm thú vị ở đây là, trong bộ phim nói rằng chỉ thiếu một từ cuối cùng không biết. Nhưng trong thế giới thực, cụm từ ghi nhớ tuân theo tiêu chuẩn BIP39, tổng cộng có 2048 từ, nghĩa là, việc bẻ khóa vị trí cuối cùng, tối đa chỉ có 2048 khả năng, nếu thu hẹp thêm phạm vi, chẳng hạn như trong bộ phim đã biết chữ cái đầu tiên là "es", thì khả năng sẽ ít hơn, chỉ cần một phút là có thể thử hết.
Tuy nhiên, câu hỏi đáng để ôn lại hơn là: mnemonics, khóa riêng, khóa công khai, mối quan hệ giữa chúng là gì? Tại sao việc mất mnemonics lại đồng nghĩa với việc mất tất cả tài sản?
Một, Cụm từ ghi nhớ: Khóa riêng: Khóa công cộng/Địa chỉ = "Chìa khóa" : "Chìa" : "Số nhà"
Cụm từ ghi nhớ là phương pháp sao lưu tuân theo chuẩn BIP39, được tạo thành từ 12, 18 hoặc 24 từ được chọn ngẫu nhiên và kết hợp từ kho từ vựng 2048 từ tiếng Anh.
Nhóm từ ghi nhớ này sau khi được xử lý bằng thuật toán PBKDF2 sẽ tạo ra một hạt giống (Seed), sau đó hạt giống này sẽ theo các tiêu chuẩn đường dẫn như BIP32/BIP44 để phát sinh một loạt các khóa riêng, từ đó tương ứng với một loạt các khóa công/public key/địa chỉ.
Một tập hợp các cụm từ ghi nhớ → Tạo ra một loạt các khóa riêng → Tạo ra một loạt các khóa công khai → Tương ứng với một loạt các địa chỉ
Nói cách khác:
Cụm từ ghi nhớ = chuỗi khóa, và khóa riêng thường có mối quan hệ một-nhiều, về lý thuyết, một nhóm cụm từ ghi nhớ có thể phát sinh ra hàng ngàn khóa riêng.
Khóa riêng = Chìa khóa, mỗi khóa riêng tương ứng với quyền sử dụng của một địa chỉ;
Khóa công khai/Địa chỉ = Số nhà, có thể công khai, người khác có thể sử dụng nó để chuyển tiền cho bạn;
Vì vậy, bạn có thể coi cụm từ ghi nhớ như là "chùm chìa khóa" của bạn, và mỗi khóa riêng giống như một chiếc chìa khóa có thể mở cửa, dùng để ký, chứng minh quyền kiểm soát của bạn đối với một địa chỉ ví nào đó - khi bạn thực hiện một giao dịch, bạn đang sử dụng khóa riêng để ký, thông báo cho toàn mạng: "Giao dịch này là tôi ủy quyền."
Hai, vậy có thể tự chọn cụm từ ghi nhớ không?
Vậy có phải bạn bè sẽ nghĩ: Liệu tôi có thể tự mình chọn 12 từ không? Chẳng hạn như ngày sinh, từ tiếng Anh yêu thích nhất, tên thần tượng, như vậy sẽ cá tính hơn.
Câu trả lời là: Có, nhưng cực kỳ nguy hiểm.
Bởi vì số ngẫu nhiên được tạo ra bởi máy tính là hoàn toàn ngẫu nhiên, trong khi con người chọn từ hầu như đều mang theo một mô hình (từ thông dụng, từ quen thuộc, sở thích về thứ tự), điều này sẽ làm thu hẹp đáng kể không gian tìm kiếm, khiến cho cụm từ ghi nhớ của bạn dễ bị đoán hơn.
Trước đây đã xảy ra sự cố bảo mật với "ví giả ngẫu nhiên", một số ví khi tạo cụm từ ghi nhớ đã sử dụng thuật toán giả ngẫu nhiên, kết quả là độ entropy không đủ, bị hacker tấn công bạo lực để trực tiếp khai thác - vào năm 2015, tổ chức hacker Blockchain Bandit đã sử dụng bộ phát sinh số ngẫu nhiên bị lỗi và lỗ hổng mã chương trình, một cách hệ thống tìm kiếm các khóa riêng tư yếu kém, đã thành công quét hơn 700.000 địa chỉ ví yếu và đánh cắp hơn 50.000 ETH từ đó.
Tất nhiên có một số người đam mê sẽ sử dụng xúc xắc (phải đảm bảo rằng xúc xắc cũng đủ đồng đều) để lắc số ngẫu nhiên, sau đó ánh xạ vào từ điển BIP39, điều này mới được coi là an toàn thủ công, nhưng đối với hầu hết mọi người, không cần phải làm phức tạp như vậy, ngược lại dễ mắc sai lầm.
Ba, có thể sử dụng bạo lực để đập ra ví tiền của V Thần hoặc các cá voi khác không?
Vấn đề này tôi đã từng tưởng tượng, mơ mộng về việc một ngày nào đó tạo ra một địa chỉ ví, và khi nhìn vào bên trong có hơn một triệu đồng ETH, ngay lập tức tự do tài chính, trực tiếp ăn cắp nhà của một ông trùm nào đó.
Không thể không nói, chỉ nghĩ thôi đã thấy hấp dẫn. Nhưng thực tế là: xác suất gần như bằng không.
Tại sao? Bởi vì số lượng tổ hợp có thể của cụm từ ghi nhớ đã vượt quá trí tưởng tượng của con người:
12 từ: Số cách kết hợp hiệu quả khoảng 2¹²⁸ ≈ 3.4 × 10³⁸
24 từ: Số cách kết hợp hợp lệ khoảng 2²⁵⁶ ≈ 1.16 × 10⁷⁷
Khái niệm của mức độ này là gì?
Chúng ta đều biết rằng cát trên trái đất nhiều đến nỗi không thể đếm được, nhưng các nhà khoa học đã ước tính một giá trị gần đúng, giả sử tổng số cát trên tất cả các bãi biển và sa mạc của trái đất là khoảng 7.5×10¹⁸ hạt, điều này cũng có nghĩa là:
Số lượng kết hợp hợp lệ của 12 từ, tương đương với tổng số cát trên trái đất gấp 4,5 × 10¹⁹ lần.
Số lượng tổ hợp hợp lệ của 24 từ nhiều hơn tổng số cát trên trái đất 1,5 × 10⁵⁸ lần.
Nói cách khác, giống như mỗi hạt cát trên trái đất đều biến thành một "trái đất mới", mỗi trái đất mới lại có bãi biển và cát, và sau đó bạn phải tìm ra hạt cát mà bạn đã đánh dấu trước đó trong tất cả những hạt cát này một cách ngẫu nhiên.
Điều này đã vượt xa quy mô mà con người có thể tưởng tượng.
Vì vậy, xác suất để bẻ khóa ví bằng cách dùng sức mạnh brute force không phải là "rất thấp", mà dưới điều kiện về vật lý và khả năng tính toán đã biết, nó tương đương với số không. Cố gắng làm giàu bằng cách "đánh cắp dữ liệu" còn kém hơn là đi mua vé số, xác suất trúng thưởng cao hơn nhiều.
Quay trở lại thiết lập của bộ phim: Nếu thực sự có ai đó chỉ thiếu một từ trong cụm từ ghi nhớ, thì确实有可能通过暴力遍历去尝试.
Cuối cùng, một vài mẹo an toàn về ví/giấy nhớ/khóa bí mật:
Ưu tiên sử dụng ví không giám sát đã được kiểm nghiệm qua thời gian và thị trường, có mã nguồn mở, như MetaMask, Trust Wallet, SafePal, v.v.; có điều kiện thì nên sử dụng ví phần cứng trực tiếp.
Cụm từ khôi phục và khóa riêng, tuyệt đối không chụp màn hình, không lưu trên đám mây, không sao chép dán, không gửi cho người khác;
Tốt nhất là sao chép bằng giấy và bút (có thể xem xét sử dụng bảng ghi nhớ bằng thép không gỉ, chống ẩm, chống cháy, chống ăn mòn), đặt ở nơi an toàn và sao lưu ở 2~3 nơi khác nhau.
Khóa công khai/địa chỉ có thể công khai một cách an toàn, nó giống như số nhà của bạn, nhưng hãy cẩn thận để nhận diện các liên kết lừa đảo;
Nên sử dụng thiết bị sạch để quản lý ví, không cài đặt tùy tiện các plugin hoặc ứng dụng không rõ nguồn gốc.
Hãy nhớ một câu: Bất kỳ ai yêu cầu bạn từ khóa gợi nhớ, 100% là lừa đảo.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Từ "Bắt gió đuổi bóng": Quyết định tài sản mã hóa hàng ngàn tỷ bằng 2048 từ
Bài viết: Tyler
Gần đây tôi đã xem tác phẩm mới được đánh giá cao của anh Jackie Chan mang tên "Bắt gió đuổi bóng", trong đó có một đoạn khá thú vị - hàng trăm tỷ HKD tài sản tiền mã hóa bị khóa trong một ví 12 từ, và chỉ còn lại một từ cuối cùng chưa biết.
Tôi đã thử nghiệm sau khi xem xong, và kết quả là tôi phát hiện rằng vị trí thứ 10 và vị trí thứ 12 không có trong bộ từ ghi nhớ tiêu chuẩn, rõ ràng là biên kịch đã cố ý viết như vậy, để tránh trường hợp có người phục hồi ví theo kịch bản để lừa đảo, vì những trò lừa đảo tương tự trên chuỗi không phải là hiếm.
Kẻ lừa đảo sẽ cố ý rò rỉ một địa chỉ ví "có số dư" (thường là trên chuỗi Tron, sử dụng cơ chế Owner), dụ dỗ mọi người chuyển vào Gas, chờ đợi để thu lợi, một khi tiền đã chuyển vào thì sẽ không bao giờ lấy lại được.
Nhưng điểm thú vị ở đây là, trong bộ phim nói rằng chỉ thiếu một từ cuối cùng không biết. Nhưng trong thế giới thực, cụm từ ghi nhớ tuân theo tiêu chuẩn BIP39, tổng cộng có 2048 từ, nghĩa là, việc bẻ khóa vị trí cuối cùng, tối đa chỉ có 2048 khả năng, nếu thu hẹp thêm phạm vi, chẳng hạn như trong bộ phim đã biết chữ cái đầu tiên là "es", thì khả năng sẽ ít hơn, chỉ cần một phút là có thể thử hết.
Tuy nhiên, câu hỏi đáng để ôn lại hơn là: mnemonics, khóa riêng, khóa công khai, mối quan hệ giữa chúng là gì? Tại sao việc mất mnemonics lại đồng nghĩa với việc mất tất cả tài sản?
Một, Cụm từ ghi nhớ: Khóa riêng: Khóa công cộng/Địa chỉ = "Chìa khóa" : "Chìa" : "Số nhà"
Cụm từ ghi nhớ là phương pháp sao lưu tuân theo chuẩn BIP39, được tạo thành từ 12, 18 hoặc 24 từ được chọn ngẫu nhiên và kết hợp từ kho từ vựng 2048 từ tiếng Anh.
Nhóm từ ghi nhớ này sau khi được xử lý bằng thuật toán PBKDF2 sẽ tạo ra một hạt giống (Seed), sau đó hạt giống này sẽ theo các tiêu chuẩn đường dẫn như BIP32/BIP44 để phát sinh một loạt các khóa riêng, từ đó tương ứng với một loạt các khóa công/public key/địa chỉ.
Một tập hợp các cụm từ ghi nhớ → Tạo ra một loạt các khóa riêng → Tạo ra một loạt các khóa công khai → Tương ứng với một loạt các địa chỉ
Nói cách khác:
Cụm từ ghi nhớ = chuỗi khóa, và khóa riêng thường có mối quan hệ một-nhiều, về lý thuyết, một nhóm cụm từ ghi nhớ có thể phát sinh ra hàng ngàn khóa riêng.
Khóa riêng = Chìa khóa, mỗi khóa riêng tương ứng với quyền sử dụng của một địa chỉ;
Khóa công khai/Địa chỉ = Số nhà, có thể công khai, người khác có thể sử dụng nó để chuyển tiền cho bạn;
Vì vậy, bạn có thể coi cụm từ ghi nhớ như là "chùm chìa khóa" của bạn, và mỗi khóa riêng giống như một chiếc chìa khóa có thể mở cửa, dùng để ký, chứng minh quyền kiểm soát của bạn đối với một địa chỉ ví nào đó - khi bạn thực hiện một giao dịch, bạn đang sử dụng khóa riêng để ký, thông báo cho toàn mạng: "Giao dịch này là tôi ủy quyền."
Hai, vậy có thể tự chọn cụm từ ghi nhớ không?
Vậy có phải bạn bè sẽ nghĩ: Liệu tôi có thể tự mình chọn 12 từ không? Chẳng hạn như ngày sinh, từ tiếng Anh yêu thích nhất, tên thần tượng, như vậy sẽ cá tính hơn.
Câu trả lời là: Có, nhưng cực kỳ nguy hiểm.
Bởi vì số ngẫu nhiên được tạo ra bởi máy tính là hoàn toàn ngẫu nhiên, trong khi con người chọn từ hầu như đều mang theo một mô hình (từ thông dụng, từ quen thuộc, sở thích về thứ tự), điều này sẽ làm thu hẹp đáng kể không gian tìm kiếm, khiến cho cụm từ ghi nhớ của bạn dễ bị đoán hơn.
Trước đây đã xảy ra sự cố bảo mật với "ví giả ngẫu nhiên", một số ví khi tạo cụm từ ghi nhớ đã sử dụng thuật toán giả ngẫu nhiên, kết quả là độ entropy không đủ, bị hacker tấn công bạo lực để trực tiếp khai thác - vào năm 2015, tổ chức hacker Blockchain Bandit đã sử dụng bộ phát sinh số ngẫu nhiên bị lỗi và lỗ hổng mã chương trình, một cách hệ thống tìm kiếm các khóa riêng tư yếu kém, đã thành công quét hơn 700.000 địa chỉ ví yếu và đánh cắp hơn 50.000 ETH từ đó.
Tất nhiên có một số người đam mê sẽ sử dụng xúc xắc (phải đảm bảo rằng xúc xắc cũng đủ đồng đều) để lắc số ngẫu nhiên, sau đó ánh xạ vào từ điển BIP39, điều này mới được coi là an toàn thủ công, nhưng đối với hầu hết mọi người, không cần phải làm phức tạp như vậy, ngược lại dễ mắc sai lầm.
Ba, có thể sử dụng bạo lực để đập ra ví tiền của V Thần hoặc các cá voi khác không?
Vấn đề này tôi đã từng tưởng tượng, mơ mộng về việc một ngày nào đó tạo ra một địa chỉ ví, và khi nhìn vào bên trong có hơn một triệu đồng ETH, ngay lập tức tự do tài chính, trực tiếp ăn cắp nhà của một ông trùm nào đó.
Không thể không nói, chỉ nghĩ thôi đã thấy hấp dẫn. Nhưng thực tế là: xác suất gần như bằng không.
Tại sao? Bởi vì số lượng tổ hợp có thể của cụm từ ghi nhớ đã vượt quá trí tưởng tượng của con người:
12 từ: Số cách kết hợp hiệu quả khoảng 2¹²⁸ ≈ 3.4 × 10³⁸
24 từ: Số cách kết hợp hợp lệ khoảng 2²⁵⁶ ≈ 1.16 × 10⁷⁷
Khái niệm của mức độ này là gì?
Chúng ta đều biết rằng cát trên trái đất nhiều đến nỗi không thể đếm được, nhưng các nhà khoa học đã ước tính một giá trị gần đúng, giả sử tổng số cát trên tất cả các bãi biển và sa mạc của trái đất là khoảng 7.5×10¹⁸ hạt, điều này cũng có nghĩa là:
Số lượng kết hợp hợp lệ của 12 từ, tương đương với tổng số cát trên trái đất gấp 4,5 × 10¹⁹ lần.
Số lượng tổ hợp hợp lệ của 24 từ nhiều hơn tổng số cát trên trái đất 1,5 × 10⁵⁸ lần.
Nói cách khác, giống như mỗi hạt cát trên trái đất đều biến thành một "trái đất mới", mỗi trái đất mới lại có bãi biển và cát, và sau đó bạn phải tìm ra hạt cát mà bạn đã đánh dấu trước đó trong tất cả những hạt cát này một cách ngẫu nhiên.
Điều này đã vượt xa quy mô mà con người có thể tưởng tượng.
Vì vậy, xác suất để bẻ khóa ví bằng cách dùng sức mạnh brute force không phải là "rất thấp", mà dưới điều kiện về vật lý và khả năng tính toán đã biết, nó tương đương với số không. Cố gắng làm giàu bằng cách "đánh cắp dữ liệu" còn kém hơn là đi mua vé số, xác suất trúng thưởng cao hơn nhiều.
Quay trở lại thiết lập của bộ phim: Nếu thực sự có ai đó chỉ thiếu một từ trong cụm từ ghi nhớ, thì确实有可能通过暴力遍历去尝试.
Cuối cùng, một vài mẹo an toàn về ví/giấy nhớ/khóa bí mật:
Ưu tiên sử dụng ví không giám sát đã được kiểm nghiệm qua thời gian và thị trường, có mã nguồn mở, như MetaMask, Trust Wallet, SafePal, v.v.; có điều kiện thì nên sử dụng ví phần cứng trực tiếp.
Cụm từ khôi phục và khóa riêng, tuyệt đối không chụp màn hình, không lưu trên đám mây, không sao chép dán, không gửi cho người khác;
Tốt nhất là sao chép bằng giấy và bút (có thể xem xét sử dụng bảng ghi nhớ bằng thép không gỉ, chống ẩm, chống cháy, chống ăn mòn), đặt ở nơi an toàn và sao lưu ở 2~3 nơi khác nhau.
Khóa công khai/địa chỉ có thể công khai một cách an toàn, nó giống như số nhà của bạn, nhưng hãy cẩn thận để nhận diện các liên kết lừa đảo;
Nên sử dụng thiết bị sạch để quản lý ví, không cài đặt tùy tiện các plugin hoặc ứng dụng không rõ nguồn gốc.
Hãy nhớ một câu: Bất kỳ ai yêu cầu bạn từ khóa gợi nhớ, 100% là lừa đảo.