钱包漏洞“Ill Bloom”:为什么脆弱的助记词会让你的币被盗空
安全公司 Coinspect 披露了一个被命名为“Ill Bloom”的漏洞,影响多条区块链上的数千个加密钱包,涉及比特币、以太坊、Polygon、波场(Tron)和 Solana。问题并非区块链本身出错,而是部分钱包应用在生成助记词(恢复…
安全公司 Coinspect 披露了一个被命名为“Ill Bloom”的漏洞,影响多条区块链上的数千个加密钱包,涉及比特币、以太坊、Polygon、波场(Tron)和 Solana。问题并非区块链本身出错,而是部分钱包应用在生成助记词(恢复短语)时使用的“随机性”太弱;自 5 月底以来,受影响钱包已被盗走至少 500 万美元。
钱包的助记词——就是那串被反复叮嘱要抄下来、绝不外泄的 12 或 24 个单词——本应由真正不可预测的随机数生成,好让任何攻击者都无法猜到。Coinspect 指出,某些钱包应用使用了不安全的随机数生成器,使这些助记词远比预期更容易被猜出。早在 2018 年生成的钱包都可能受影响,而问题最常出现在较冷门的手机软件钱包上。
损失已经真实发生。Coinspect 表示,5 月 27 日的一次攻击命中了 2,114 个脆弱钱包中的 431 个,盗走约 310 万美元;上周日又有约 200 万美元从受影响钱包被转走。安全监测机构慢雾(SlowMist)称正在跟踪该警报。Coinspect 暂未公开该漏洞的技术细节,但已发布一个工具,让用户查询自己的地址是否可能受影响。
值得注意的是,这似乎并非人人受害。Coinspect 表示,用硬件钱包生成的助记词不受影响,目前主流软件钱包大多也是安全的。风险最高的,是那些在较冷门的手机钱包应用里生成助记词的用户。
这类缺陷此前也出现过。2023 年,研究人员发现 Trust Wallet 浏览器插件生成的助记词可被暴力破解,因为它只从约 40 亿种组合中取值,所幸在资金被盗前完成了修复。同年,Libbitcoin Explorer 工具的另一个漏洞导致约 90 万美元被盗。
如果你持有加密资产,对新手而言的关键不是恐慌,而是搞清楚自己的助记词是怎么来的。用信誉良好的硬件钱包,或经过充分审计的大型应用生成的助记词,是最稳妥的起点。只要求你输入地址(公开信息)的查询工具无妨,但凡是要你填写“助记词/恢复短语”的,都是骗局。如果你怀疑自己用过冷门的手机钱包,最安全的做法是用可信设备重新生成一个新钱包,再把资金转过去。