有个朋友跟我讲了一个案例,我开始觉得很荒诞,但仔细听过后觉得很新颖,佩服当初想出这个点子的人。
说有人想找他,做某个钱包的破解。我一听就觉得这个很扯淡,钱包的加密,靠普通的破解,不知道多少年都不一定实现,如果真能实现,那像BTC这种忘记密钥的很多,破解了岂不是早发财了?
朋友见我不屑一顾,解释说,
“你先别急,听我给你讲下别人的思路”。
我们都知道,钱包一般都有助记词,一般12-24个助记词。助记词是用来你忘记密码时作为恢复的,准确地说,助记词可以帮你恢复你的钱包,也是取得钱包的最高权限。
简单一句话,有了助记词,就有了你钱包的最高权限,可以做任何操作如转出你钱包的所有金额。
"想破解助记词?这不可能嘛!" 我还是不相信。
“别急嘛,听我跟你慢慢讲。”
朋友继续解释,传统一般人能想到的思路,是针对某个钱包地址,进行暴力破解或者撞库,实现最终破解的目的,这种方法在互联网时代的确很盛行,网上有一些公开的比如泄露的密码、设置过于简单的密码、重复使用过的密码等,就是用来进行撞库,用这种方法在一定成都上还真有效。
但是,区块链上再用这办法就不行了,比如密钥,动辄几十到上百的字符,用现有的计算机是不可能破解的。
那是怎样呢?
关键点来了,有人想到了个办法,就是反过来,比如知道有一批助记词,用这个助记词来试钱包,尝试恢复钱包。
我们都知道,钱包恢复只需要助记词即可,而不需要地址,用这种办法有点像开撞盲盒,不断撞库,加上区块链上没有传统中心化服务器上那种密码多次尝试保护机制。
理论上,比如你弄1000台云手机,一个月成本不过1、4万人民币,这千台云手机不断进行尝试比如每天尝试几十万次,一个月尝试上百万甚至更多,很有可能性,一不小心就成了。。。
当然,也有可能虽然成功通过助记词掌握了钱包的最高权限,但发现里边没有金额,也就是空钱包。。。
不要泄气,现在通常的做法是,不动声色将钱包地址加入到比对数据库里,定期进行余额扫描,一旦发现有金额进入,立马用之前成功获取到的最高权限,将用户的金额迅速转移。。。
这一番反向思路和秘密潜伏操作,让我觉得很新颖,佩服当初想出这个点子的人。
我前几天看到一则信息,说有人购买了200多个域名,用来伪造电报网站,这些网站无论是域名名称,还是网站打开后的网页,跟真实的电报网站都几乎一模一样,很多人搜索一下,就点击下载安装了。。。
这就是有人会觉得很奇怪,为什么自己的电报莫名其妙被他人盗用了?原来早在当初登录李鬼电报网站时,下载的软件已经被植入了后门,你开始用的时候不会发现,一旦有相关比如重要信息透漏时,很快就发现电报失效,资金甚至被人盗用等。
因此,下载这些软件,除非你确定网址是对的,否则一定得去正规的市场比如google play商店下载,否则,一不小心很可能就栽了跟头。。。
果然会赚钱的人思路就是别具一格,跟我们常人很大不同啊!