為什么丟失私鑰就等于丟失了一切

2016 年 8 月，我以 iOS 開發(fā)者的身份加入 imToken 團隊，現在負責 imToken 的產品運營工作。在這之前，我對區(qū)塊鏈涉及到的密碼學內容，如算法推導、公私鑰對、橢圓曲線加密等知之甚少。我依然記得那種「偏見」帶來的痛苦感覺，而這「偏見」源自于傳統(tǒng)互聯網賦予的慣性思維。

雖然我現在已經了解了錢包原理，但相比之下，我更理解這項技術給小白用戶帶來的困擾，并一直致力于普及去中心化錢包知識，盡可能幫助那些資產遭受損失的用戶。該系列文章以故事性為主，大家可以在茶余飯后慢慢閱讀，希望這些案件可以「敲醒」那些恬不在意的錢包用戶，妥善管理自己的財產。

第一起案件

大約在 2017 年６月份，我接手了第一起盜幣案件，向我求助的用戶算幣圈早期的投資人。梳理后的對話內容如下：

曉婷（化名）：我有兩部手機，之前通過 iPhone 手機下載使用 imToken， 但是因為更新太麻煩了，就換了另一部 Android 手機。昨天我通過 QQ 郵箱將私鑰通過郵件發(fā)送過去，然后直接導入了新的設備，就將這封郵件刪除了。然后今天中午我打開 imToken 時候，就發(fā)現所有資產被盜了，所有的幣都價值不菲，你可不可以幫幫我？

我：你是直接發(fā)送的明文私鑰嗎？

曉婷：是 Keystore。

我：Keystore 密碼呢？和郵件密碼是否一致？有沒有和 Keystore 一起管理？

曉婷：當然沒有，這點安全意識我還是有的。密碼沒有和 Keystore 放在一起，密碼不是常用的。..…

我：我覺得還是郵件傳輸私鑰導致你資產被盜的概率較大，你再仔細回想一下 Keystore 密碼和郵箱密碼的關聯性。

曉婷：Keystore 密碼雖然和郵箱密碼不一樣，但是有較強的關聯性。

很遺憾，由于第一次處理盜幣案件，經驗不足，沒能很好的分析資產流向，所以成了「懸案」。即便如此，我也可以大概率肯定是「郵箱」出賣了她的私鑰，由于 Keystore 密碼和 QQ 密碼的相關性，黑客極容易「暴力破解」，所謂「暴力破解」是一種密碼分析的方法，即將密碼進行逐個推算，直到找出真正的密碼為止。

比如「曉婷」的 QQ 密碼為 xiaoting666 而 Keystore 密碼為 xiaoTIng888，那么黑客很快就可以通過密碼碰撞，通過 xiaoTIng666 推導出 xiaoTIng888。

針對密碼安全這一點，imToken 要求員工統(tǒng)一使用 1password 作為密碼管理工具，生成高強度的隨機密碼，避免使用和身份相關的密碼或短密碼，從而造成安全隱患。

這起案件只是開啟我新身份的開始，使我從一個開發(fā)者，逐漸變成了「柯南」。在這之后，我處理了上百起丟幣盜幣案件，勘察過五花八門的盜幣手法，也經歷過啼笑皆非的盜幣事件。這一系列故事的真正開局是在 2017 年 9 月 4 日之后，我將在后續(xù)的連載中，向你娓娓道來。