Wallet
聰明的黑客還能從 blockchain.info 錢包中竊取所有人的錢嗎?
Blockchain.info聲稱:
我們不能(也不想):
- 查看您的餘額
- 查看您的通訊錄
- 代表您進行交易
- 沒收你的錢包
- 將您鎖定在我們的服務中。
他們通過僅儲存包含私鑰的加密錢封包件來做到這一點,並讓 Web 客戶端使用私鑰進行解密和簽名,而無需使用伺服器進行通信。這意味著 blockchain.info 確實不能代表您進行交易。
我曾經認為這也意味著,如果黑客闖入他們的伺服器,他們將無法竊取每個人的比特幣,因為私鑰沒有儲存在那裡。
但是,現在我不太確定。難道黑客不能簡單地更改伺服器程式碼以將 javascript 發送到 web 客戶端,該客戶端在執行時解密這些私鑰並將它們發送回(現在被黑客攻擊的)伺服器?
這將需要更長的時間,因為每個人都必須登錄才能被入侵……但他們仍然能夠竊取一堆比特幣。
我是否遺漏了什麼,或者這確實是 blockchain.info 的目前狀態?
(請注意,這並不是要探勘這個特定的網站;總的來說,這實際上更像是一個安全問題。)
是的,您描述的攻擊是可能的。
但這並不特定於 blockchain.info 或線上錢包。
如果攻擊者設法在您的機器上執行程式碼,那麼您就完蛋了。
只要攻擊者設法以未加密的形式註入處理私鑰的程式碼,攻擊者就可以讓它將密鑰發送回給她。
正如您所描述的,攻擊者可以做到這一點的一種方法是破壞線上錢包的網站並註入惡意 javascript。
另一種方法是破壞您在本地電腦上安裝的比特幣客戶端(客戶端儲存的錢包)的二進製文件。
blockchain.info 聲稱提供的“額外安全”是僅僅獲取密鑰數據庫不足以讓攻擊者竊取你的錢。