黑客攻击比特币大脑钱包并窃取超过 100,000 美元

比特币可以兑现并兑换成大多数国家货币。 用户可以使用比特币购买一些虚拟物品，比如网络游戏中的衣服、帽子、装备等。 只要有人接受，他们也可以用比特币购买现实生活中的物品。 与大多数货币不同，比特币不依赖于特定的货币机构来发行。 它是根据特定算法通过大量计算生成的。 比特币经济在整个 P2P 网络中使用由众多节点组成的分布式数据库来确认和记录所有交易。 并采用密码学的设计，保证货币流通各个环节的安全。

由于脑钱包简单易用，很多比特币初学者在刚接触比特币的时候都喜欢用脑钱包的方式存储密码，但是脑钱包使用的密码真的安全吗？

研究人员发现，最近有超过一千个比特币大脑钱包被盗。 据统计，迄今为止，网络犯罪分子已成功窃取价值 103,000 美元的比特币。

可能有很多用户不了解什么是比特币大脑钱包。 脑钱包的概念是指通过记忆将比特币的访问密码存储在用户的脑袋中。 使用哈希算法或密钥派生算法（如 SHA256）将密码转换为 256 位私钥。 该私钥可用于计算比特币的最终地址。

以前，人们错误地认为这种方法非常安全，因为恶意软件无法窃取用户的私钥。 但现在一位专家证实，比特币大脑钱包实际上并不安全，因为攻击者可以轻松破译他们的密码。 研究人员解释说，大脑钱包使用的密码没有加盐值，明文密码只经过一轮哈希迭代。 这也使得攻击者可以轻松破解脑钱包密码。 现在的另一个关键问题是，存储在比特币数据区块链 (Blockchain) 中的不安全密码哈希将为网络犯罪分子提供大量有价值的信息。

安全研究员 Ryan Castellucci 在去年的 DEF CON 大会上向世界展示了如何破解比特币大脑钱包：

“经过研究分析脑钱包的加密方式，我们发现，由于比特币的数据区块链使用了弱密钥，这不仅为我们的攻击提供了机会，也让我们的扫描效率提高了很多。”

现在，塔尔萨大学、斯坦福大学和南卫理公会大学的研究人员发现了一种破解大脑钱包密码的新方法，这种方法比 Castellucci 描述的攻击速度要快得多。

研究人员还就此发表了一篇论文，介绍了他们新的、快速、高效的比特币密钥恢复攻击技术。 该技术比 Castellucci 发现的技术快 2.5 倍，效率更高。

安全研究人员总共分析了大约 3000 亿个密码，发现在 2011 年 9 月至 2015 年 8 月期间使用的比特币大脑钱包不到 1000 个。

“在这篇论文中，我们报告了第一次大规模比特币大脑钱包密码调查的结果，”研究人员在他们发表的报告中写道。 在对密码词汇进行分析之后，我们对 3000 亿个密码进行了评估和分析。 令人惊讶的是，在研究人员进行更深入的分析后，我们发现在 2011 年 9 月至 2015 年 8 月期间，仅使用了 884 个比特币大脑钱包，总价值约为 10 万美元。”

“我们的结果表明，活跃的攻击者可以在任何情况下迅速从比特币大脑钱包中窃取资金，”研究人员解释说。 目前，大脑钱包中总共存储了价值约 10 万美元的比特币，其中价值最高的钱包有十个，这十个钱包的总价值占十万美元的 75%。 很多大脑钱包在短短几分钟内就被攻击者掏空，而那些钱多的比特币钱包被清空的速度更快，几乎所有钱包都在 24 小时内被清空。

我们在研究过程中，所有的密码词都可以在字典中查到，然后通过将这些密码与比特币地址进行比对，就可以找出比特币大脑钱包使用的密码。

经专家鉴定，884个比特币大脑钱包中共存有1806枚比特币，总价值约10万美元。 专家还发现，只有 21 个比特币大脑钱包没有被网络犯罪分子盗用。

比特币账户可以在几分钟甚至几秒钟内被犯罪分子清空的发现让安全人员感到震惊。 研究人员还发现，存储大量资金的比特币账户也没有受到更强密码的保护。

“在我们发现的比特币账户中，只有 21 个没有被犯罪分子清空，其余的在 24 小时内清空黑客盗取比特币，大多数在几分钟内清空，”研究人员说。 里面被洗劫一空。”

安全专家还对这些大脑钱包的比特币交易数据进行了分析，发现有14家交易实体受到了此次攻击的影响。

此外，研究人员还在他们的报告中写道：“在犯罪分子使用的drainers（攻击者用来从比特币账户中挖比特币的工具）中，只有少数drainers是有效的。其余的drainers效率相对较低。”四个效率最高的 drainer 一共挖了大约 35000 美元的比特币黑客盗取比特币，而其他的 drainer 都没有挖到多少，比如一个 drainer 从 78 个不同的比特币中被脑钱包盗走，但挖出的比特币价值只有 62 美元”

研究团队将在题为“比特币大脑钱包的安全分析”的论文中发表他们的发现。 该论文将在 2016 年金融加密和数据安全会议上发表。