Từ "Bắt Gió Đuổi Bóng": Quyết định tài sản mã hóa hàng nghìn tỷ bằng 2048 từ.

Tác giả: Tyler

Gần đây tôi đã xem tác phẩm mới được đánh giá cao của anh em Thành Long mang tên "Bắt gió đuổi bóng", trong đó có một tình tiết khá thú vị - hàng trăm tỷ đô la Hồng Kông tài sản tiền mã hóa bị khóa trong một ví từ khóa 12 từ, và kết cục chỉ còn lại một từ cuối cùng chưa biết.

Tôi đã xem xong và thử một chút, kết quả phát hiện rằng vị trí thứ 10 và vị trí thứ 12 không có trong kho từ ghi nhớ tiêu chuẩn, rõ ràng là biên kịch cố tình viết như vậy để tránh việc ai đó phục hồi ví theo cốt truyện và thực hiện lừa đảo, vì những trò lừa đảo tương tự trên chuỗi không phải hiếm.

Kẻ lừa đảo sẽ cố tình tiết lộ một địa chỉ ví "có số dư" (thường thấy trên chuỗi Tron, sử dụng cơ chế Owner), dụ dỗ mọi người chuyển vào Gas, chờ đợi cơ hội, một khi tiền đã chuyển vào thì sẽ không bao giờ lấy lại được.

Nhưng có một điều thú vị ở đây là, trong bộ phim nói rằng chỉ thiếu một từ cuối cùng không biết. Nhưng trong thế giới thực, cụm từ ghi nhớ tuân theo tiêu chuẩn BIP39, tổng cộng có 2048 từ, nghĩa là, việc bẻ khóa cuối cùng, tối đa chỉ có 2048 khả năng, nếu thu hẹp hơn nữa, ví dụ như trong bộ phim đã biết chữ cái đầu tiên là "es", thì khả năng còn ít hơn, chỉ trong một phút có thể thử xong.

Tuy nhiên, câu hỏi đáng để nhớ lại hơn ngoài bộ phim là: cụm từ ghi nhớ, khóa riêng, khóa công khai, thực sự có mối quan hệ như thế nào? Tại sao mất cụm từ ghi nhớ lại đồng nghĩa với việc mất tất cả tài sản?

Một, cụm từ ghi nhớ: Khóa riêng: Khóa công khai/Địa chỉ = "Chùm chìa khóa": "Chìa khóa": "Số nhà"

Câu ghi nhớ là phương pháp sao lưu theo tiêu chuẩn BIP39, được tạo thành từ 12, 18 hoặc 24 từ được chọn và kết hợp ngẫu nhiên từ kho từ vựng 2048 từ tiếng Anh thông qua thuật toán.

Sau khi được xử lý bằng thuật toán PBKDF2, bộ từ ghi nhớ này sẽ tạo ra một hạt giống (Seed), sau đó từ hạt giống này theo các tiêu chuẩn đường dẫn như BIP32/BIP44, sẽ sinh ra một loạt các khóa riêng, từ đó tương ứng với một loạt các khóa công/địa chỉ.

Một nhóm từ ghi nhớ → Tạo ra một loạt khóa riêng → Tạo ra một loạt khóa công khai → Tương ứng với một loạt địa chỉ

Nói cách khác:

Cụm từ ghi nhớ = chuỗi khóa, và khóa riêng thường có mối quan hệ một nhiều, về lý thuyết một cụm từ ghi nhớ có thể phát sinh ra hàng nghìn khóa riêng.

Khóa riêng = Chìa khóa, mỗi khóa riêng tương ứng với quyền sử dụng của một địa chỉ;

Khóa công khai/địa chỉ = Số nhà, có thể công khai, người khác có thể sử dụng nó để chuyển tiền cho bạn;

Vì vậy, bạn có thể coi cụm từ ghi nhớ là "chuỗi chìa khóa" của bạn, và mỗi khóa riêng giống như một trong những chiếc chìa khóa có thể mở cửa, được sử dụng để ký, chứng minh quyền kiểm soát của bạn đối với một địa chỉ ví nào đó - khi bạn thực hiện một giao dịch, bạn đang sử dụng khóa riêng để ký, thông báo cho toàn mạng: "Giao dịch này là tôi ủy quyền."

Thứ hai, có thể tự chọn cụm từ ghi nhớ không?

Vậy có phải bạn bè sẽ nghĩ: Tôi có thể tự tạo ra 12 từ không? Chẳng hạn như ngày sinh, từ tiếng Anh yêu thích nhất, tên thần tượng, như vậy sẽ cá tính hơn.

Câu trả lời là: Có, nhưng cực kỳ nguy hiểm.

Bởi vì số ngẫu nhiên được tạo ra bởi máy tính là hoàn toàn ngẫu nhiên, trong khi con người khi chọn từ thường có xu hướng theo mẫu (từ thường dùng, từ quen thuộc, ưu tiên thứ tự), điều này sẽ thu hẹp đáng kể không gian tìm kiếm, khiến cho cụm từ ghi nhớ của bạn dễ bị đoán hơn.

Trước đây đã xảy ra sự cố an toàn liên quan đến "ví giả ngẫu nhiên", một số ví khi tạo cụm từ ghi nhớ đã sử dụng thuật toán giả ngẫu nhiên, kết quả là độ entropy thấp hơn nhiều so với yêu cầu, khiến hacker có thể tấn công bạo lực và giải mã trực tiếp - vào năm 2015, tổ chức hacker Blockchain Bandit đã lợi dụng bộ sinh số ngẫu nhiên gặp lỗi và các lỗ hổng mã chương trình, một cách hệ thống tìm kiếm các khóa riêng tư có độ an toàn yếu, đã thành công quét hơn 700.000 địa chỉ ví yếu và đánh cắp hơn 50.000 ETH từ đó.

Tất nhiên, một số tín đồ sẽ sử dụng xúc xắc (cần đảm bảo rằng xúc xắc cũng đủ đồng đều) để lắc số ngẫu nhiên, sau đó ánh xạ đến từ điển BIP39, như vậy mới được coi là an toàn thủ công, nhưng đối với hầu hết mọi người, không cần phải phức tạp như vậy, ngược lại còn dễ mắc lỗi.

Ba, có thể dùng bạo lực để đập ra ví của V thần hoặc các cá voi khác không?

Vấn đề này tôi cũng đã tưởng tượng từ lâu, mơ tưởng rằng một ngày nào đó tôi sẽ tạo ra một địa chỉ ví, kết quả là khi nhìn vào bên trong có hơn triệu ETH, ngay lập tức tự do tài chính, trực tiếp đánh cắp nhà của một ông lớn nào đó.

Không thể không nói, chỉ cần nghĩ thôi đã thấy hấp dẫn. Nhưng thực tế là: xác suất gần như bằng không.

Tại sao? Bởi vì số lượng tổ hợp của cụm từ ghi nhớ đã vượt quá sức tưởng tượng của con người:

12 từ: Số tổ hợp hợp lệ khoảng 2¹²⁸ ≈ 3.4 × 10³⁸

24 từ: Số cách kết hợp hợp lệ khoảng 2²⁵⁶ ≈ 1.16 × 10⁷⁷

Khái niệm về quy mô này là gì?

Chúng ta đều biết rằng cát trên trái đất nhiều đến mức không thể đếm hết, nhưng các nhà khoa học đã ước tính một giá trị gần đúng, giả sử tổng số cát trên tất cả các bãi biển và sa mạc trên trái đất là khoảng 7.5×10¹⁸ hạt, điều này cũng có nghĩa là:

Số lượng tổ hợp hợp lệ của 12 từ tương đương với tổng số cát trên Trái Đất gấp 4,5 × 10¹⁹ lần.

Số lượng tổ hợp hợp lệ của 24 từ nhiều gấp 1,5 × 10⁵⁸ lần tổng số cát trên Trái Đất.

Nói cách khác, giống như mỗi hạt cát trên trái đất đều trở thành một "trái đất mới", trong mỗi trái đất mới đó lại có bãi biển và cát, rồi bạn phải tìm ra hạt cát mà bạn đã đánh dấu trước đó trong tất cả những hạt cát này một cách ngẫu nhiên.

Điều này đã vượt xa quy mô mà con người có thể tưởng tượng.

Vì vậy, xác suất để bẻ khóa ví bằng bạo lực không phải là "rất thấp", mà dưới các điều kiện vật lý và khả năng tính toán đã biết, nó tương đương với không. Còn nếu muốn làm giàu bằng cách "đâm vào kho", thì thà đi mua vé số, xác suất trúng thưởng cao hơn nhiều.

Quay lại cài đặt của bộ phim: nếu thật sự có ai đó chỉ thiếu một từ trong cụm từ nhớ, thì确实有可能通过暴力遍历去尝试.

Cuối cùng, một vài mẹo an toàn về ví/ cụm từ hạt giống/ khóa riêng:

Ưu tiên sử dụng ví không quản lý đã được kiểm nghiệm qua thời gian và thị trường, có mã nguồn mở, như MetaMask, Trust Wallet, SafePal, và nếu có điều kiện thì trực tiếp sử dụng ví phần cứng.

Cụm từ ghi nhớ và khóa riêng, tuyệt đối không chụp màn hình, không lưu trữ trên đám mây, không sao chép dán, không gửi cho người khác;

Tốt nhất là chép ra giấy bút (có thể cân nhắc sử dụng bảng ghi nhớ bằng thép không gỉ, chống ẩm, chống cháy, chống ăn mòn), đặt ở nơi an toàn và sao lưu ở 2~3 chỗ khác nhau.

Khóa công khai/địa chỉ có thể công khai một cách an tâm, nó giống như số nhà của bạn, nhưng hãy chú ý nhận diện các liên kết lừa đảo;

Nên sử dụng thiết bị sạch để quản lý ví, không cài đặt các plugin hoặc ứng dụng không rõ nguồn gốc.

Hãy nhớ một câu: bất kỳ ai yêu cầu bạn cung cấp cụm từ khôi phục, 100% là kẻ lừa đảo.