科普 | 黑客是怎样让你心甘情愿转账给他的?

撰文 | 陈艺鑫

编辑 | 李欣丽

近两年来,黑客攻击的钱包盗取数字资产的安全事件频发发生,一度引发了市场广大投资者对钱包安全性的担忧。攻击的方式五花八门,可谓是“道高一尺魔高一丈”,其中中间人攻击(Man-in-the-middle attack, MITM)是黑客信道攻击中最常见的方式之一。

中间人攻击是导致数字资产钱包安全事件频发的重要手段之一,本质上就是由黑客本人同时冒充客户端和服务器双方进行交互,用自己的地址代替服务器或者收款人的地址,从而破坏了钱包数字资产的充提。

简单来说,就是黑客黑进了你和服务器的中间,对你假装自己是服务器,对服务器假装是你。让两边都以为他是安全的,让两边都心甘情愿给他转账。

HashKey Hub 采用的安全算法和协议,双管齐下,能够有效阻止中间人的攻击。

1

控制双方会话,两头骗

中间人攻击是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

通俗地讲,中间人攻击就是黑客冒名顶替交易的双方,利用代码漏洞同时充当客户端和服务器,从而控制整个会话的过程,包括私钥与公钥还有凭证的交换与验证,从而盗取用户的私钥,进而从地址中转走数字资产,类似现实生活中的冒充监听通信并冒充收款人。

科普 | 黑客是怎样让你心甘情愿转账给他的?

            中间人攻击的原理

假设 Alice 希望向 Bob 通信,Mallory 希望拦截会话并且窃听,从而向 Bob 传递虚假信息,具体步骤如下:

(1) Alice 向 Bob 索取他的公钥的信息被 Mallory 截获:

Alice:“嗨,Bob,我是 Alice。给我你的公钥” --> Mallory and Bob

(2) Mallory 将这条截获的信息发送给 Bob,Bob 无法确定是否真的是 Alice 发来的:

Alice and Mallory:“嗨,Bob,我是 Alice。给我你的公钥” -->Bob

(3) Mallory 向 Alice 回复声称自己是 Bob,并且附上自己的公钥:

Alice <-- [Mallory 的公钥替代了 Bob 的公钥]—Mallory and Bob

(4) Alice 收到 Mallory 的公钥误以为是 Bob 发的:

Alice:“我付你 10 个 BTC” --[使用 Mallory 的公钥加密] --> Mallory and Bob

(5)然而,这个消息用 Mallory 的公钥加密,Mallory 可以解密和阅读,并篡改填上自己的地址,Mallory 用 Bob 的公钥重新加密,并将新加密后的消息发送给 Bob:

Alice and Mallory:“将 10 个 BTC 转移到 Mallory 的地址”--[使用 Bob 的公钥加密] --> Bob

(6)当 Bob 收到新加密的消息时,他会相信这是从 Alice 那里发过来的。

科普 | 黑客是怎样让你心甘情愿转账给他的?

Mallory 拦截 Alice 和 Bob 的通信

2

钱包尤其需防范中间人攻击

我们将场景变换一下,将 Alice 比作数字资产钱包的客户端,而 Bob 为数字资产钱包的服务器。

显而易见,黑客 Mallory 同样可以通过发起中间人攻击获取信息,让用户在钱包执行数字资产充提和兑换的过程中,让用户将数字资产打入黑客本人的地址。

引申数字资产钱包,就是只要服务器和客户端有一方的公钥是静态的,黑客发动中间人攻击利用其自己公钥加密产生的哈希值就会与原本静态一方的公钥加密的哈希值产生差异,这就判断出已经遭受了中间人攻击。

HashKey Hub 一站式资产管理平台利用公钥加密的哈希值差异,能够有效阻止黑客发动中间人攻击:

公钥为动态,具有较大的临时性,再结合 Hash 数字签名技术进行认证。因此,只要用户与 HashKey Hub 服务器端,有一端是静态公钥,就可以有效规避中间人攻击,充分保障用户资金安全。

往期科普精选

轻节点钱包,机智的省事之道 | 全轻节点小科普

科普 |3 分钟初识 PoS 挖矿

比保险箱更保险的,是 2 个保险箱 |3 分钟了解多重签名

两富翁如何既不露富又能比出谁更有钱?5 分钟带你看懂安全多方计算 (MPC)

科普 | 一文搞懂数字钱包 6 大要素

科普 |3 分钟读懂数字资产的冷热存储

科普 | 黑客是怎样让你心甘情愿转账给他的?

扫码关注我们

科普 | 黑客是怎样让你心甘情愿转账给他的?

科普 | 黑客是怎样让你心甘情愿转账给他的?

科普 | 黑客是怎样让你心甘情愿转账给他的?

HashKey Hub

注册链接

微信小助手

官方公众号

二维码

来源链接:mp.weixin.qq.com