世界历史上最愚蠢的数学算法失误:价值150亿美元的12.7万个比特币被美国端掉
太子集团的老板并没有被抓住,不是被严刑拷打问密码。整个事件,完全是数学和算法的太差,这么多钱没小心管理。
他们的币是放在中国比特币矿池运营商LuBian那里的,胡搞了一个缺陷极大的伪随机数生成器(PRNG)去批量生产钱包私钥,结果钥匙空间被人为缩小。就相当于本来30位的密码,变成只有5位有效了,其它25位是算法关联的。
不可思议的是,这个PRNG是他们自己乱搞的!不是用网上公开的成熟算法,用那种其实都安全的。
根据外网分析,太子集团钱包使用的并不是公开、成熟的算法,而是一个内部自行实现了简化版,核心失误可以归结为三点。
整个热钱包进程只维护一个 64 bit 的 Xorshift64 状态变量。每批量生成一批私钥时,只是把当前状态不停地“异或+移位”迭代,再把 64 bit 输出简单扩展到 256 bit 作为私钥。因为状态空间只有 2的64次方个,一旦攻击者拿到任意一次输出,就能向前/向后滚动枚举出整棵密钥树。
他们给每个用户地址都使用完全相同的 BIP-32 派生路径,并且把“n”设成 0、32、64 … 这种 32 步固定偏移。于是同一批次钱包的私钥呈等差数列关系,进一步把搜索空间压缩到几十万量级。
初始 64 bit 状态仅由 timestamp(GetTickCount)填充,时间戳精度1ms,在服务器集群里几乎可以把范围缩小到 2³⁰ 左右。结合上面两条,攻击者用一台游戏显卡就能把 2的64次方的空间暴力枚举完。
美国政府的人,用普通服务器枚举 37 天后全部找回了私钥,直接控制钱包转走127271枚比特币。
这可能是世界历史上最愚蠢的数学算法失误。太子集团可能完全不懂,但负责保管的人数学出了大问题。
整个过程是太子集团和矿池运营商的数学失误,比特币核心算法并没有被攻破。这也说明加密货币体系的弯弯绕很多,理论上去中心化,但是实践中很不安全。
