Son zamanlarda Jackie Chan'in yeni ve beğenilen filmi "Rüzgarı Yakalamak"ı izledim. İçinde oldukça ilginç bir sahne var - yüz milyarlarca Hong Kong Doları değerinde kripto varlık, 12 kelimelik bir mnemonik cüzdanda kilitlenmiş, sonunda sadece son kelime bilinmiyor.
Gittim denedim, ancak 10. ve 12. sıradaki kelimelerin standart hafıza kelime listesinde olmadığını fark ettim. Senaristin bunu bilerek yazdığı açık, insanların senaryoya göre cüzdanı geri oluşturarak dolandırıcılık yapmalarını önlemek için. Nihayetinde, zincir üzerindeki benzer dolandırıcılıklar nadir değildir:
Aldatıcılar, insanların Gas göndermesini sağlamak için kasıtlı olarak "bakiye içeren" bir cüzdan adresini (genellikle Tron zincirinde, Owner mekanizmasını kullanarak) ifşa ederler, böylece bir yere oturup beklerler; fonlar bir kez gönderildiğinde geri alınamaz.
Ama burada ilginç bir nokta, filmde son kelimenin bilinmediği söyleniyor. Ancak gerçek dünyada, mnemonic kelimeleri BIP39 standardını izler, toplamda 2048 kelime vardır, yani son birimi zorla kırmanın en fazla 2048 olasılığı vardır, eğer aralığı daha da daraltırsak, örneğin filmde bilinen başlangıç harfi "es" ise, olasılık daha da azdır, bir dakikada denemek mümkündür.
Ancak, filmin ötesinde tekrar gözden geçirilmesi gereken daha önemli bir soru var: kurtarma cümlesi, özel anahtar, genel anahtar; bunlar arasındaki ilişki nedir? Neden kurtarma cümlesini kaybetmek, tüm varlıkları kaybetmekle eşdeğerdir?
Yardımcı kelimeler, 2048 İngilizce kelimeden oluşan bir sözlükten algoritmik olarak rastgele seçilip birleştirilerek oluşturulan 12, 18 veya 24 kelimeden oluşan BIP39 standardına uygun bir yedekleme yöntemidir.
Bu grup mnemonik kelimeler PBKDF2 algoritması ile işlendiğinde bir tohum (Seed) oluşturur. Bu tohum daha sonra BIP32/BIP44 gibi yol standartlarına göre bir dizi özel anahtar türetecek ve dolayısıyla bir dizi genel anahtar/adres ile eşleşecektir.
Bir grup hatırlatma kelimesi → Bir dizi özel anahtar oluşturma → Bir dizi genel anahtar oluşturma → Bir dizi adres ile eşleştirme
Başka bir deyişle:
Mnemonic = Anahtar zinciri, genellikle birden çoğa bir ilişki içindedir, teorik olarak bir grup mnemonic binlerce özel anahtar üretebilir;
Özel anahtar = anahtar, her bir özel anahtar bir adresin kullanım hakkına karşılık gelir;
Açık anahtar/adres = kapı numarası, kamuya açıktır, başkaları bunu kullanarak sana para transferi yapabilir;
Bu nedenle, kurtarma ifadesini "anahtar zinciri" olarak düşünebilirsiniz ve her özel anahtar, kapıyı açan bir anahtar gibidir; bir cüzdan adresi üzerindeki kontrolünüzü imzalamak ve kanıtlamak için kullanılır - bir işlem başlattığınızda, bu işlemi imzalamak için özel anahtarı kullanırsınız ve tüm ağa "Bu transferi ben yetkilendirdim" dersiniz.
İkincisi, kendinize özel bir kurtarma kelimesi seçebilir misiniz?
Acaba arkadaşlar şöyle mi düşünüyor: 12 kelimeyi kendim bir araya getirebilir miyim? Mesela doğum günü, en sevdiğim İngilizce kelime, idolün ismi gibi, bu daha kişisel olur.
Cevap: Evet, ama son derece tehlikeli.
Çünkü bilgisayar tarafından üretilen rastgele sayılar gerçek rastgeleliktir, oysa insanların kelimeleri seçerken neredeyse her zaman bir kalıp taşır (yaygın kelimeler, alışkanlık haline gelmiş kelimeler, sıralama tercihleri), bu da arama alanını büyük ölçüde daraltır ve hatırlatma kelimelerinizin tahmin edilmesini kolaylaştırır.
Daha önce "sahte rastgele cüzdan" güvenlik olayı yaşanmıştı, bazı cüzdanlar kurtarma kelimelerini oluştururken sahte rastgele algoritmalar kullanmıştı, sonuç olarak entropi çok yetersizdi, hackerlar tarafından şiddetli bir şekilde taranarak doğrudan zorla kırıldı - 2015 yılında Blockchain Bandit adlı hacker grubu, arızalı rastgele sayı üreteci ve program kodu açıklarından yararlanarak zayıf güvenlikli özel anahtarları sistematik olarak aradı ve 70'ten fazla zayıf cüzdan adresini başarıyla taradı, bunlardan 50.000'den fazla ETH çaldı.
Elbette bazı meraklılar, rastgele sayı üretmek için zar kullanacaklar (zarın da yeterince düzgün olduğundan emin olmalısınız), ardından BIP39 kelime havuzuna haritalandıracaklar, bu da el ile güvenli sayılır. Ancak çoğu insan için bu kadar karmaşık bir yöntem gerekmez, aksine hata yapmayı kolaylaştırır.
Üç, V Tanrısı veya diğer balinaların cüzdanlarını zorla çarpabilir miyiz?
Bu soruyu ben de yıllar önce kafamda canlandırmıştım, bir gün bir cüzdan adresi oluşturduğumu hayal ettim, sonra baktım içinde bir milyondan fazla ETH var, anında zengin oldum, direkt olarak bir balinanın evine girdim.
Söylemeden geçemeyeceğim, sadece düşünmek bile oldukça çekici. Ama gerçek şu ki: olasılık neredeyse sıfır.
Neden? Çünkü kurtarma kelimelerinin olası kombinasyon sayısı, insan hayal gücünü aşacak kadar abartılıdır:
12 kelime: Etkili kombinasyon sayısı yaklaşık 2¹²⁸ ≈ 3.4 × 10³⁸
24 kelime: Etkin kombinasyon sayısı yaklaşık 2²⁵⁶ ≈ 1.16 × 10⁷⁷
Bu büyüklük ne anlama geliyor?
Dünyada sayısız kum olduğunu hepimiz biliyoruz, ancak bilim insanları yaklaşık bir değer tahmin ettiler. Dünya üzerindeki tüm plajlar ve çöl kumlarının toplam sayısının yaklaşık 7.5×10¹⁸ tane olduğunu varsayıyorlar, bu da şunu ifade ediyor:
12 kelimelik geçerli kombinasyon sayısı, Dünya'daki tüm kum taneciklerinin toplamının 4.5 × 10¹⁹ katına eşdeğerdir.
24 kelimenin geçerli kombinasyon sayısı, dünyanın üzerindeki kum taneciklerinin toplam sayısının 1.5 × 10⁵⁸ katıdır.
Başka bir deyişle, sanki dünya üzerindeki her bir kum tanesi, bir "yeni dünya" haline gelmiş gibi, her yeni dünyada plajlar ve kumlar var, sonra bu kumların arasında, önceden işaretlediğin o kum tanesini bir seferde rastgele bulmalısın.
Bu, insanlığın hayal edebileceği ölçeği çoktan aştı.
Bu nedenle, bir cüzdanın şifresini kırma olasılığı "son derece düşük" değil, bilinen fizik ve hesaplama gücü altında sıfıra eşdeğerdir. "Kütüphane saldırısı" ile zengin olmayı düşünmek, loto oynamaktan çok daha düşük bir kazanma olasılığına sahiptir.
Filmin o ayarına geri dönecek olursak: eğer gerçekten birinin sadece bir kurtarma kelimesi eksikse, o zaman şifreyi kırmak için kaba kuvvet yöntemleriyle denemek mümkün olabilir.
Son olarak, cüzdanlar/hatırlatıcı kelimeler/özel anahtarlarla ilgili birkaç güvenlik ipucu:
Zaman ve piyasa tarafından test edilmiş, açık kaynak kodlu denetimden geçmiş, MetaMask, Trust Wallet, SafePal gibi yönetilmeyen cüzdanları öncelikli olarak kullanın; şartlar altında doğrudan donanım cüzdanları kullanın;
Mnemonic kelimeler ve özel anahtar, asla ekran görüntüsü almayın, bulut depolama alanında saklamayın, kopyalayıp yapıştırmayın, başkalarına göndermeyin;
En iyi, kalem kağıtla not almaktır (paslanmaz çelik hafıza kartı kullanmayı düşünebilirsiniz, nemden, ateşten ve korozyondan korur), güvenli bir yerde saklayın ve 2-3 farklı yerde yedekleyin;
Açık anahtar/adresinizi güvenle paylaşabilirsiniz, bu sizin kapı numaranızdır, ancak oltalama bağlantılarını tanımaya dikkat edin;
Cüzdanı yönetmek için temiz bir cihaz kullanmanızı öneririz, tanımadığınız eklentileri veya uygulamaları rastgele yüklemeyin;
Bir şeyi unutma: Sana kurtarma ifadesini isteyen herkes %100 dolandırıcıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Rüzgarı Yakalamak ve Gölgeyi Takip Etmek'ten başlayarak: Trilyonlarca şifreleme varlığını belirleyen 2048 kelime
Yazı: Tyler
Son zamanlarda Jackie Chan'in yeni ve beğenilen filmi "Rüzgarı Yakalamak"ı izledim. İçinde oldukça ilginç bir sahne var - yüz milyarlarca Hong Kong Doları değerinde kripto varlık, 12 kelimelik bir mnemonik cüzdanda kilitlenmiş, sonunda sadece son kelime bilinmiyor.
Gittim denedim, ancak 10. ve 12. sıradaki kelimelerin standart hafıza kelime listesinde olmadığını fark ettim. Senaristin bunu bilerek yazdığı açık, insanların senaryoya göre cüzdanı geri oluşturarak dolandırıcılık yapmalarını önlemek için. Nihayetinde, zincir üzerindeki benzer dolandırıcılıklar nadir değildir:
Aldatıcılar, insanların Gas göndermesini sağlamak için kasıtlı olarak "bakiye içeren" bir cüzdan adresini (genellikle Tron zincirinde, Owner mekanizmasını kullanarak) ifşa ederler, böylece bir yere oturup beklerler; fonlar bir kez gönderildiğinde geri alınamaz.
Ama burada ilginç bir nokta, filmde son kelimenin bilinmediği söyleniyor. Ancak gerçek dünyada, mnemonic kelimeleri BIP39 standardını izler, toplamda 2048 kelime vardır, yani son birimi zorla kırmanın en fazla 2048 olasılığı vardır, eğer aralığı daha da daraltırsak, örneğin filmde bilinen başlangıç harfi "es" ise, olasılık daha da azdır, bir dakikada denemek mümkündür.
Ancak, filmin ötesinde tekrar gözden geçirilmesi gereken daha önemli bir soru var: kurtarma cümlesi, özel anahtar, genel anahtar; bunlar arasındaki ilişki nedir? Neden kurtarma cümlesini kaybetmek, tüm varlıkları kaybetmekle eşdeğerdir?
Yardımcı kelimeler, 2048 İngilizce kelimeden oluşan bir sözlükten algoritmik olarak rastgele seçilip birleştirilerek oluşturulan 12, 18 veya 24 kelimeden oluşan BIP39 standardına uygun bir yedekleme yöntemidir.
Bu grup mnemonik kelimeler PBKDF2 algoritması ile işlendiğinde bir tohum (Seed) oluşturur. Bu tohum daha sonra BIP32/BIP44 gibi yol standartlarına göre bir dizi özel anahtar türetecek ve dolayısıyla bir dizi genel anahtar/adres ile eşleşecektir.
Bir grup hatırlatma kelimesi → Bir dizi özel anahtar oluşturma → Bir dizi genel anahtar oluşturma → Bir dizi adres ile eşleştirme
Başka bir deyişle:
Mnemonic = Anahtar zinciri, genellikle birden çoğa bir ilişki içindedir, teorik olarak bir grup mnemonic binlerce özel anahtar üretebilir;
Özel anahtar = anahtar, her bir özel anahtar bir adresin kullanım hakkına karşılık gelir;
Açık anahtar/adres = kapı numarası, kamuya açıktır, başkaları bunu kullanarak sana para transferi yapabilir;
Bu nedenle, kurtarma ifadesini "anahtar zinciri" olarak düşünebilirsiniz ve her özel anahtar, kapıyı açan bir anahtar gibidir; bir cüzdan adresi üzerindeki kontrolünüzü imzalamak ve kanıtlamak için kullanılır - bir işlem başlattığınızda, bu işlemi imzalamak için özel anahtarı kullanırsınız ve tüm ağa "Bu transferi ben yetkilendirdim" dersiniz.
İkincisi, kendinize özel bir kurtarma kelimesi seçebilir misiniz?
Acaba arkadaşlar şöyle mi düşünüyor: 12 kelimeyi kendim bir araya getirebilir miyim? Mesela doğum günü, en sevdiğim İngilizce kelime, idolün ismi gibi, bu daha kişisel olur.
Cevap: Evet, ama son derece tehlikeli.
Çünkü bilgisayar tarafından üretilen rastgele sayılar gerçek rastgeleliktir, oysa insanların kelimeleri seçerken neredeyse her zaman bir kalıp taşır (yaygın kelimeler, alışkanlık haline gelmiş kelimeler, sıralama tercihleri), bu da arama alanını büyük ölçüde daraltır ve hatırlatma kelimelerinizin tahmin edilmesini kolaylaştırır.
Daha önce "sahte rastgele cüzdan" güvenlik olayı yaşanmıştı, bazı cüzdanlar kurtarma kelimelerini oluştururken sahte rastgele algoritmalar kullanmıştı, sonuç olarak entropi çok yetersizdi, hackerlar tarafından şiddetli bir şekilde taranarak doğrudan zorla kırıldı - 2015 yılında Blockchain Bandit adlı hacker grubu, arızalı rastgele sayı üreteci ve program kodu açıklarından yararlanarak zayıf güvenlikli özel anahtarları sistematik olarak aradı ve 70'ten fazla zayıf cüzdan adresini başarıyla taradı, bunlardan 50.000'den fazla ETH çaldı.
Elbette bazı meraklılar, rastgele sayı üretmek için zar kullanacaklar (zarın da yeterince düzgün olduğundan emin olmalısınız), ardından BIP39 kelime havuzuna haritalandıracaklar, bu da el ile güvenli sayılır. Ancak çoğu insan için bu kadar karmaşık bir yöntem gerekmez, aksine hata yapmayı kolaylaştırır.
Üç, V Tanrısı veya diğer balinaların cüzdanlarını zorla çarpabilir miyiz?
Bu soruyu ben de yıllar önce kafamda canlandırmıştım, bir gün bir cüzdan adresi oluşturduğumu hayal ettim, sonra baktım içinde bir milyondan fazla ETH var, anında zengin oldum, direkt olarak bir balinanın evine girdim.
Söylemeden geçemeyeceğim, sadece düşünmek bile oldukça çekici. Ama gerçek şu ki: olasılık neredeyse sıfır.
Neden? Çünkü kurtarma kelimelerinin olası kombinasyon sayısı, insan hayal gücünü aşacak kadar abartılıdır:
12 kelime: Etkili kombinasyon sayısı yaklaşık 2¹²⁸ ≈ 3.4 × 10³⁸
24 kelime: Etkin kombinasyon sayısı yaklaşık 2²⁵⁶ ≈ 1.16 × 10⁷⁷
Bu büyüklük ne anlama geliyor?
Dünyada sayısız kum olduğunu hepimiz biliyoruz, ancak bilim insanları yaklaşık bir değer tahmin ettiler. Dünya üzerindeki tüm plajlar ve çöl kumlarının toplam sayısının yaklaşık 7.5×10¹⁸ tane olduğunu varsayıyorlar, bu da şunu ifade ediyor:
12 kelimelik geçerli kombinasyon sayısı, Dünya'daki tüm kum taneciklerinin toplamının 4.5 × 10¹⁹ katına eşdeğerdir.
24 kelimenin geçerli kombinasyon sayısı, dünyanın üzerindeki kum taneciklerinin toplam sayısının 1.5 × 10⁵⁸ katıdır.
Başka bir deyişle, sanki dünya üzerindeki her bir kum tanesi, bir "yeni dünya" haline gelmiş gibi, her yeni dünyada plajlar ve kumlar var, sonra bu kumların arasında, önceden işaretlediğin o kum tanesini bir seferde rastgele bulmalısın.
Bu, insanlığın hayal edebileceği ölçeği çoktan aştı.
Bu nedenle, bir cüzdanın şifresini kırma olasılığı "son derece düşük" değil, bilinen fizik ve hesaplama gücü altında sıfıra eşdeğerdir. "Kütüphane saldırısı" ile zengin olmayı düşünmek, loto oynamaktan çok daha düşük bir kazanma olasılığına sahiptir.
Filmin o ayarına geri dönecek olursak: eğer gerçekten birinin sadece bir kurtarma kelimesi eksikse, o zaman şifreyi kırmak için kaba kuvvet yöntemleriyle denemek mümkün olabilir.
Son olarak, cüzdanlar/hatırlatıcı kelimeler/özel anahtarlarla ilgili birkaç güvenlik ipucu:
Zaman ve piyasa tarafından test edilmiş, açık kaynak kodlu denetimden geçmiş, MetaMask, Trust Wallet, SafePal gibi yönetilmeyen cüzdanları öncelikli olarak kullanın; şartlar altında doğrudan donanım cüzdanları kullanın;
Mnemonic kelimeler ve özel anahtar, asla ekran görüntüsü almayın, bulut depolama alanında saklamayın, kopyalayıp yapıştırmayın, başkalarına göndermeyin;
En iyi, kalem kağıtla not almaktır (paslanmaz çelik hafıza kartı kullanmayı düşünebilirsiniz, nemden, ateşten ve korozyondan korur), güvenli bir yerde saklayın ve 2-3 farklı yerde yedekleyin;
Açık anahtar/adresinizi güvenle paylaşabilirsiniz, bu sizin kapı numaranızdır, ancak oltalama bağlantılarını tanımaya dikkat edin;
Cüzdanı yönetmek için temiz bir cihaz kullanmanızı öneririz, tanımadığınız eklentileri veya uygulamaları rastgele yüklemeyin;
Bir şeyi unutma: Sana kurtarma ifadesini isteyen herkes %100 dolandırıcıdır.