新聞 
幣種資訊 
關於我們 
根據 Decrypt 的報導,於 24 日(當地時間)揭露的一項重大安全漏洞顯示,全球已有超過12萬個外部數位錢包因使用有缺陷的開源工具庫,面臨遭駭風險。該漏洞源於與比特幣(BTC)相關的 C++ 開發庫「Libbitcoin Explorer(簡稱 bx)3.x 版本」,其背後的「隨機數生成(Random Number Generation, RNG)」機制存有嚴重弱點,使攻擊者能藉此計算出用戶的私鑰資訊。
技術上來說,這項缺陷出在 bx 3.x 採用的「梅森旋轉演算法(Mersenne Twister-32)」。此演算法的隨機性嚴重依賴系統時間當成種子值(seed),導致實際可用的種子組合僅有 2³² 種。安全研究人員指出,黑客可利用高效能電腦,在短時間內嘗試所有可能值,並進而還原出部分錢包的私鑰,造成資產外洩。
這起事件早在 2023 年 11 月首次遭爆出,當時稱為「Milk Sad」漏洞事件。不過即便消息已廣泛流傳,依舊有大量用戶未採取行動,資產尚未轉移至安全錢包。研究人員特別提醒,若用戶的錢包是在 2017 年至 2023 年間,透過 bx 3.x 或仰賴該工具庫構建的錢包(例如部分老版 Trust Wallet)所產生,則可能面臨較高風險。
由於該算法下生成的隨機數過於簡單,意味著用戶的比特幣資產可以相對輕易被轉移。對此,知名硬體錢包業者 OneKey 也於社群平台表示,其所有錢包產品均未使用 bx 工具庫,產品不受此次事件影響,藉此安撫市場與用戶的不安情緒。
針對這類潛在風險,專家建議用戶採取以下三項行動以增強資產安全:
首先,若使用的是依賴舊式程式庫或未具加密安全性的錢包,應立即將資產轉移至採用「加密安全偽隨機數生成器(CSPRNG)」的新型錢包;其次,建立符合 BIP39 規範的新助記詞種子短語,能進一步增強安全性;第三,徹底檢查手上的硬體錢包與紙錢包,若有風險跡象,應儘速升級或替換。
評論:這次事件無疑再次強調了「錢包生成時的亂數品質」對加密資產安全的重要性,甚至小小的實作瑕疵也可能導致災難性後果。它提醒所有開發者與用戶,對於基礎安全機制絕不能掉以輕心。
此次事件不僅揭露了使用不當密碼學工具的風險,也凸顯了「隨機性」與「私鑰不可預測性」在比特幣(BTC)生態系中的關鍵性。面對愈加複雜的駭客攻擊,使用者與錢包開發人員都必須更加重視安全最佳實踐。
留言 0