你认为纸质比特币钱包安全吗？ CYBAVO：私钥被盗的关键是这个

在加密货币的世界里，钱包对应的私钥就相当于钱包里存放的资产，是唯一可以使用钱包里资金的代币。如果私钥没有生成或管理不当比特币钱包密码和私钥，将会造成巨大的资金损失。安全漏洞比特币钱包密码和私钥，几乎所有的加密货币盗窃都与不当的私钥生成或管理有关。

除了交易，比特币钱包通常还负责生成私钥。一些安全意识较高的用户，只会在使用比特币时才会使用“离线生成私钥”的方式。 ，在将私钥导入钱包进行交易之前。在离线生成私钥的方式中，“纸钱包”受到很多人的推崇。用户只需要准备一台干净安全的电脑，连接纸钱包生成网站，断开网络后直接使用生成的网站即可。通过私钥功能，可以得到一组新的私钥和对应的钱包地址。

原理是无需连接网络即可生成私钥。私钥本身是一串随机数。生成过程只需要一个“足够随机”且符合标准的随机种子。 “纸钱包生成网站”通常会提供一个可以离线工作的 JavaScript 程序。当用户电脑断开网络并点击生成私钥时，程序会使用一些混乱的因素（如鼠标轨迹、键盘输入和系统时间等信息）作为参数的一部分，并获取一个标准从系统随机数池中随机数生成私钥。但是这样生成的私钥真的安全吗？

通过下面的分析，用户会发现即使电脑干净安全，生成私钥的过程并没有联网，用于打印的打印机服务也没有驱动拦截纸钱包，即使是在这样一个完全安全的环境下，通过“纸钱包生成网站”生成的私钥也可能是危险的！

Cypherpunks Taiwan 创始人陈博伟与信息安全公司 CYBAVO 合作，发现有人在使用特定网站的纸钱包，私钥被盗。经CYBAVO进一步追踪发现，“纸钱包生成网站”大多使用与BitAddress.org相同的JavaScript源码进行二次开发。其中许多网站都是著名的“纸钱包生成网站”，例如 WalletGenerator.net 和 BitcoinPaperWallet.com，已被证实存在后门。

正如 The Blocker 之前报道的那样，由加密货币纸钱包生成器 WalletGenerator.net 运行的代码被证明是“易受攻击的”，允许批量生成器重复发送相同的钱包私钥和给定的公钥集多个用户，但实际上每个人都应该得到一个唯一且随机生成的密钥。

不得不提的是，为了保证纸钱包的安全，密钥必须是随机生成的。但是，大多数“纸钱包生成网站”都会修改代码，其中一些是粗略的。密钥未断网时，会上传用户随机生成的私钥信息；为了避免用户在生成私钥时断网，或者上传私钥时引起警觉，只会修改随机数区间，这样私钥只会在一个时间内重复生成一定范围，即无论用户执行多少次私钥生成，私钥只会在数百组中重复生成。密钥不能称为随机生成，更别说“唯一”了。

对此，提供源代码的BitAddress.org作者只能在用户回复中声明这些事件无关紧要，但无法有效压制。尽管部分网站被列为可疑页面，但仍有不少“纸钱包生成网站”在更改网站外观和地址后重新上线，例如 AmazonPowers.com（百度搜索前三名）。用户需要特别注意避免在这些恶意的“纸钱包生成网站”上生成私钥。

CYBAVO经过实际测试成功生成了重复的私钥。同时，私钥的相对地址也有比特币交易记录。相关地址列表如下。 “纸钱包生成网站”生成，生成地址在列表中，请立即转账并丢弃钱包。目前有不少地址有交易记录，一旦资金进入这些钱包，就会立即转出。很明显，黑客利用这个漏洞随时监控这些地址，一有钱就立即转移。

CYBAVO呼吁，如果有读者成为这些纸钱包的受害者，必须尽快联系团队，CYBAVO将尽力协助受害者找回被盗的比特币。以下为详细地址清单：

1KGabGv4xwZCo6ebbFykKFPmdqNkYMmG4F

154SXM9EFqvxbvmuK87MYY6aAa3CNDcjFg

1BVaQaUHk46nXf1z7kBfgGG5pfPigUKU25

1L9xH7xU9YQ6p39pvNCnjM8A2Xjj1m8ZBS

1LswadF991seb6vYqWorGQd2dVvx6P2nAu

172bGAVUD7ZtJHEDLbBGCiG8uhSD9t7aPD

14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn

16WRqQsZQSWp7uD4Jhb1CrPvJq8D6ETuZA

1BQHKBxCeyMt7CJMSTiWXB74etuKhkDRpt

1CtF6gmdByQmxQ7JT43W63yt5taUgF4UVi

12ziu6dsjdZ7poY5LNxC8nDn1x7kKcQexv

1A8JZzxheW8mx1HbQKyJddbrECwPTXTQtk

133Bx5yWRgYHBv8YJVwVaR7TmsUHZmFSJa

1HGJEdzNHq89S96nJvkLdbj4NyPJM9qw3f

1MfPqSDiraPRBVyYASNkF8oc5Ja1ZkdsZn

16fUUF7GSF2GbVJig1KQrD4ksNMnUBX7Dq

1LjCLg4qU1X1Bd8xnaouNQthCAJpwqMZni

1LjiyXuYGYRs2Z8UKwTnLmomfJTsTBqwRh

1KzF87otzAW8FeVrWyiP5NA6dz39e6eaQ1

1EXG94GYR63F3ij8XKXpm2iGac2JFGTksp

14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k

14rARDAY9UKY7TdgkWW9ULcZbj6u1bd4Vn

1NSyCbfGibf1mahXCKaiiGNEvmgsfntdq3

133Bx5yWRgYHBv8Y JVwVaR7TmsUHZmFSJa

13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4

1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9

1KYTAnNPoo2YtMVcywHsATR3mgffMwVphj

1GiQvuabtcNYSphXCQYH3dUCX88xnEifdA

1MNk9m9xuUYrvfdJLG8zxqPG7tfKBTn9Wx

1ECiYkHpgGyRJrs1aWW7bS6iyckubutSVZ

18cTBu3JhC7bBWrmEoT548TqLyKBkXnaT6

18JxFDL4oFFDVVHMXQvqJTDM73bQe1c2Vq

1P518UYVz6VbuPKgLPQjRUc2DYcaM6dQCf

1KkHiBAhkk3ZxoNiYZnTFLF4mTc5EnKDBb

1HdreMMZXY21U3ynoJqe4uE4J66q84c6oP

15DUoApHf5yq9kzHUekRzTNxhJWok9ZfG5

15uxEk954TSW3f7pSPSNdvDeEeTCPDHxip

14kFGdncu8NrVfPkWiK2TukYNEzPmQ2b3k

1DSRUf7PbvckdaB7YHakPUfBuwt22Zboyu

1F5vVpwfdDNNVbPZmQguNJqsdrkWpU7gFE

12TnGq99e18gFwT1svkhNsUVAReEC6ARoJ

16ZBadgmztS92Sas1CFSTfhnyfE1mRwjaz

15bKRPVGSqS5njS9WjZPPFDKbDSY2NTTDf

13TujBeyeVh8E8amvamsDdNszw5FSD19qz

16QumJh6hE3d5W4hX87BbxKs1aBGDbSaKs

13TvhrFK4X7Y84jEyzDMvXKmbjPg4Y6evT

1PAD114RCjcMcfBHzCQEBe7BvzL2J9FpiB

17vDMhe1Y m9XQMyaa6ahW4fvU5ibVCniBi

184WrJZa5A8K2KxiZdpdrBHaj63FdfAAjC

18372nnAvma9VGduvREHzovGdiiptnrrw5

127i4e35gL11pNRsZnr7QeajU8bvY4ZkqR

1E6VqRpH3X9zCLFSJyu2BJmyELRxGNzB1S

1HJmAumP6T9SXuNmaUm8z36KFLPPZ499z2

15L6yf28VH8bxP2Pmwgwuud5pbvYysPsPr

1PJKrag4e41LP691iNDgGKELLRcDdzN2FD

1GRnLqV31mNxUahSTwzmQ13sTzeZ82rEQz

16yx9juHqYtLruTRXDPmfDJENiqaMhWSCW

13TujBeyeVh8E8amvamsDdNszw5FSD19qz

13qW3UrhTirJELFoXyjeeCZCPtTd3LYzt4

1Gkat5DVDD8SBShdBytwekyfQqyEp5ES8K

1QAF2Mb5kmj1WhgBx1nQC5C8CiWyTqyak4

CYBAVO战略合作伙伴UnblockAnalysis已成功追踪相关现金流，部分资金已进入交易所。大部分被盗地址的比特币会被发送到固定地址进行积累，当数量超过一定数量时，会通过混币快速转移和出售。下图是Unblock Analysis分析其中一个地址后的金流信息图：

目标地址：1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9

(A) 1RnLLGiXWkHFGRGmdraDb9rUUGtLeLrV9

(B) 1BSZ6QW3kr2Cz8noutJo1hoa8sNybT4n25

(C) 34wvFXLBe55BKV1YiKNQz1m2Fk2maJ4TZo

(D) bc1qkr8gy0edcwwp2d3zdhtcf3gam42s9uvm4yx6sj

以上(A)为锁定地址，(B)、(C)、(D)为流地址。 2019年12月6日，资金从（A）转至（B），（B）转至（C），再从（C）转入（D），90分钟内完成资金划转。这样的资金流向触发了疑似“白手套（中介）”的交易行为，更加确定了黑客掌握了锁定地址的私钥。当资金进入钱包后，资金立即转出。

最后，如果读者个人或公司的钱包系统使用上述代码生成私钥，请立即查看随机数生成过程，一定要遵守以下三个原则：

据报道，作为一家网络安全公司，CYBAVO致力于为企业提供安全易用的区块链私钥托管和免密码认证服务，旨在为企业提供类似于企业银行账户的受监管加密货币采用最完善的加密技术和最严格的网络安全标准的管理机制，为数字资产或供应链应用的区块链私钥提供最好的保护。

郑重声明：本文版权归原作者所有，转载文章仅出于传播更多信息之目的。如果作者信息标注有误，请尽快联系我们修改或删除，谢谢。