趙余:“彩虹表攻擊”可以簡單理解為“字典攻擊”
EOS LaoMao 的趙余在《寧話區(qū)塊鏈》之全球EOS節(jié)點(diǎn)答疑的節(jié)目中稱 “前兩天發(fā)生的’彩虹表攻擊’,是由于有些開發(fā)者通過設(shè)計(jì)的自定義助記詞功能不完善。既沒有過濾空字符串,也沒有強(qiáng)制用戶設(shè)置足夠長的助記詞。導(dǎo)致黑客可以通過簡單的窮舉,就能拿到部分賬戶的私鑰。EOS 彩虹表攻擊始末:EOS 官方庫 eosjs-ecc提供了一個(gè)自定義助記詞生成密鑰的接口。
有些開發(fā)者使用這個(gè)接口,做了一個(gè)用戶可以自定義助記詞的密鑰生成工具。但是由于產(chǎn)品設(shè)計(jì)問題,具體問題是下面兩個(gè):1. 沒有過濾空字符串;2. 沒有強(qiáng)制要求用戶自己填寫的助記詞的長度必須達(dá)到足夠安全的長度(比如 12 個(gè)獨(dú)立的單詞作為助記詞,就可以認(rèn)為安全性很高了)。導(dǎo)致部分用戶,使用了簡單的字母或單詞作為助記詞生成了自己的私鑰。比如 a, b, c, hello, world 等等。這就導(dǎo)致黑客可以輕而易舉地“窮舉”常見的單詞,字母,以及單詞組合,進(jìn)而拿到用戶私鑰,最終轉(zhuǎn)移用戶資產(chǎn)。這個(gè)“窮舉”的方法,一般也被稱為“彩虹表”攻擊。對(duì)于使用自定義助記詞功能生成私鑰的用戶,建議自查助記詞長度,確保助記詞長度不少于 12 個(gè)單詞。”
粵公網(wǎng)安備 44030402000745號(hào) 