區塊鏈私鑰泄密

① 區塊鏈中的私鑰和公鑰

公開密鑰（public key，簡稱公鑰）、私有密鑰（private key，簡稱私鑰）是密碼學里非對稱加密演算法的內容。顧名思義，公鑰是可以公開的，而私鑰則要進行安全保管。

私鑰是由隨機種子生成的，公鑰是將私鑰通過演算法推導出來。 由於公鑰太長，為了簡便實用，就出現了「地址」，地址是公鑰推導出來的。這些推導過程是單向不可逆的。也就是地址不能推出公鑰，公鑰不能推出私鑰。

從中我們可以看出，公鑰與私鑰是成對存在的。它們的用處用16個字來概括： 公鑰加密，私鑰解密；私鑰簽名，公鑰驗簽。

公鑰加密，私鑰解密。也就是用公鑰加密原數據，只有對應的私鑰才能解開原數據。這樣能使得原數據在網路中傳播不被竊取，保護隱私。

私鑰簽名，公鑰驗簽。用私鑰對原數據進行簽名，只有對應的公鑰才能驗證簽名串與原數據是匹配的。

可以用鎖頭，鑰匙來比喻公鑰，私鑰。鎖頭用來鎖定某物品，鑰匙來解鎖該物品。鑰匙所有者是物品的所有者。事實上就是這樣，公私鑰對奠定了區塊鏈的賬戶體系及資產（Token等）的所有權，區塊鏈的資產是鎖定在公鑰上的，私鑰是用來解鎖該資產然後使用。比如說我要轉讓資產給你，就是我用我的私鑰簽名了一筆我轉讓資產給你的交易（含資產，數量等等）提交到區塊鏈網路里，節點會驗證該簽名，正確則從我的公鑰上解鎖資產鎖定到你的公鑰上。

我們看到了私鑰的作用了吧，跟中心化記賬系統（支付寶、微信支付等）的密碼一樣重要，擁有私鑰就擁有了資產所有權，所以我們千萬要保管好私鑰，不能泄露。

② 區塊鏈安全性主要通過什麼來保證

區塊鏈技術是一種分布式記錄技術，它通過對數據進行加密和分布式存儲，來保證數據的安全性和可靠性。
主要通過以下幾種方式來保證區塊鏈的安全性：
1.加密技術：區塊鏈採用的是對稱加密和非對稱加密演算法，可以有效保護數據的安全。
2.分布式存儲：區塊鏈的數據不是集中存儲在單一節點上，而是分散存儲在網路中的各個節點上，這有效防止了數據的篡改和丟失。
3.共識機制：區塊鏈通常採用共識機制來確認交易的合法性，這有助於防止惡意交易的發生。
4.合約機制：區塊鏈可以通過智能合約來自動執行交易，這有助於防止操縱交易的發生。
區塊鏈技術在實現安全性的同時，也帶來了一些挑戰。例如，區塊鏈的安全性可能受到漏洞的攻擊，或者因為私鑰泄露而導致資產被盜。因此，在使用區塊鏈技術時，還需要注意身份認證、密碼安全等方面的問題，以確保區塊鏈的安全性。
此外，區塊鏈技術的安全性也可能受到政策、法規等方面的影響。例如，在某些國家和地區，區塊鏈技術可能會受到審查和限制，這也可能會對區塊鏈的安全性產生影響。
總的來說，區塊鏈技術的安全性主要通過加密技術、分布式存儲、共識機制和合約機制等方式來保證，但是還需要注意其他方面的挑戰和影響因素。

③ 2018-07-13小白學區塊鏈——私鑰·公鑰

在生活中移動支付和無現金支付已經相對普及了，它方便了我們的日常生活，也降低了我們隨身攜帶現金的風險。無論是移動端支付還是銀行卡類支付，我們都要綁定或輸入銀行卡號和支付密碼才能支付，那麼在比特幣的交易中是如何達成支付的呢？

1.私鑰

在比特幣網路中的私鑰可以對應我們現實世界銀行卡號加支付密碼，也就是： 私鑰=銀行卡號+取款密碼。 私鑰是比特幣網路中根據密碼學上的一種偽隨機演算法生成一種不可預算的一串字元，由於生成的私鑰是256位數的二進制密碼。因為私鑰太長，識別率不高。所以系統又對於原始的隨機數進行一定的轉換，轉換為識別率高的字元串形式的私鑰，比如：也可以把私鑰轉換其他形式，比如以單詞的形式(12或者24個單詞）的助記詞。還有一種是經過加密的私鑰Keystore,是以文件形式存在的，導出時需要設置密碼，導入也一樣的需要輸入密碼，即使別人知道了你的Keystore，沒有你設的密碼也是得不到你的私鑰的。

2.公鑰

公鑰也就是我們通常所說的轉賬地址。公鑰是由私鑰生成的，通過橢圓曲線演算法生成，一個私鑰經過橢圓曲線變換之後能夠得到公鑰，公鑰也是一組轉換後的字元串，比如：。公鑰是用來驗證私鑰的簽名，私鑰和公鑰是成對出現的，一個私鑰簽名的數據，只有對應的公鑰才能對其進行驗證，而地址也是從公鑰生成的，這樣就可以驗證花費的交易是不是屬於這個地址。簡單理解也就是： 公鑰=銀行卡賬號。

總結

1.是私鑰生成公鑰也是成對出現的，公鑰可以生成對應的唯一地址，驗證發送交易的地址是否和該公鑰生成的地址一致

2.公鑰驗證私鑰的簽名，用來驗證該交易是否使用了正確的私鑰簽名，這樣就能確認了該地址發送的交易是否使用了對應的私鑰。

④ 區塊鏈不能隨便告訴給別人是:BTC私鑰還是BTC地址還是錢包安全密碼

這是重要性排序：BTC私鑰、錢包安全密碼、BTC地址
私鑰是一切，一定不能告訴任何人。
只要有私鑰就可以重新導入錢包，重新設置錢包安全密碼。
一個BTC賬戶可以有很多地址，所以裡面最不重要的就是地址。不管多不重要，都不能隨便告訴別人。

⑤ 區塊鏈的私鑰要是丟了有什麼辦法找回嗎

先說結論：找不回！
區塊鏈之所以有匿名性，就是因為上面沒有你的身份，有的就只有地址和私鑰，要對地址上的資產進行操作，私鑰是唯一且必須的條件。作為區塊鏈用戶來說，私鑰就是一切。並且為了保證區塊鏈的安全，以目前的算力和技術，從地址倒推私鑰是絕對不可能可行的。如果可行，那麼整個區塊鏈上所有的地址均失去了安全性，區塊鏈上的資產就都失去了意義。
那麼這么難記的私鑰到底要怎麼解決應用問題呢，目前來看，區塊鏈錢包其實已經一定程度上滿足需求了，已經很少有人真的去記那樣復雜的私鑰來玩區塊鏈了。可信的第三方私鑰託管機構也是一種選擇（其實和在線熱錢包的概念很接近），然後和生物識別技術結合的私鑰體系也可以是一種探索方向。（指紋、聲紋等等）
更多區塊鏈有關的內容歡迎瀏覽我的匯總帖：
https://bbs.bumeng.cn/thread-848-1-1.html?hmsr=%E6%90%9C%E6%90%9C%E9%97%AE%E9%97%AE&hmpl=&hmcu=&hmkw=&hmci=

⑥ Chainge技術沙龍（0414）-區塊鏈技術的安全隱患

虛擬機設計

零錢整理

慢霧科技介紹

01| The Dao事件
以太坊第一個安全大事件
智能合約的取款
新建一個Bank，存入一部分錢，用Dao框架不停取錢。
取款-判斷余額-取款操作框架-轉空該賬戶下的所有錢。
簡單的例子就是，你的銀行卡有餘額100萬，你需要買一個10塊錢的飲料，但是支付的過程有漏洞，所以你銀行卡的所有錢都被轉走。

一、外部調用

02| 以太坊黑色情人節
起源：第一轉賬時間是2.14

ETH節點統計
客戶端、客戶端版本、OS系統。整個系統的龐雜

蜜罐檢測 （部署陷阱能檢測出黑客的點來）

net_version
判斷是主網還是測試網，只攻擊主網
3000+主網節點完全暴露

eth_accounts
獲取錢包賬號，涉及錢包賬號

eth_getBanlance
獲取有多少錢，被盜46000+ETH

why?
unlockAccount 函數介紹
該函數將使用密碼從本地的keystore 里提取private key 並存儲在內存中,函數第三個參數ration 表示解密後private key 在內存中保存默認是300 秒; 如果設置為0,則表的時間，示永久存留在內存，直至Geth/Parity 退出。
詳見:
https://github.com/ethereumgethereum/wiki/Management-APIs#personal_unlockaccount

節點存用戶的keystore信息（嚴重危險）

eth_getBlockByNumber
墨子掃描引擎，掃描有問題的節點，慢霧的以太坊安全事件的披露
被盜ETH，市值，被盜錢包數
具體內容可以查看慢霧發布的 以太坊黑色情人節專題

生態相關
ETH：礦池、錢包、web3、smart contract、dapp
BTC:礦池、錢包、Lightning Network

BTC RPC
防禦建議

管理數十萬用戶安全的接近百萬的比特幣

華人世界唯一被bitcoin.org網站展示的錢包

比特派多種區塊鏈資產（BTC、ETH、Token、分叉）
冷熱結合，確保安全
比特派-熱錢包
比特護盾-冷錢包/硬體錢包

區塊鏈安全事件

私鑰決定了區塊鏈資產的所有權，丟了私鑰也就相當於丟了一切。私鑰就是一個隨機數，這個隨機數的概率空間很大(256 位，即2^256)

錢包=生態入口
需要在安全的同時做到盡可能的開放

玩法的開放，技術的開放，通用的技術介面，生態的開放，把自己的資源進行導入。合作夥伴計劃：技術咨詢、區塊鏈技術支持、開放平台、入口支持、生態支持、海外市場合作。幫助夥伴實現區塊鏈轉型或區塊鏈項目孵化，安全、便捷實現真正落地的區塊鏈應用場景。

聯系方式 [email protected]

用戶風控系統，數百萬的數字貨幣用戶。
最大可能保持我們的數字資產

騙子故事：搶數字貨幣份額，錢沒到賬，冒充官方，交出助記詞

惡意錢包地址庫
詐騙錢包、黑客錢包、羊毛黨錢包

惡意網站庫
釣魚網站、空投網站、交易所、眾籌

風險合約庫
重名幣、空格幣、風險合約

安全事件庫
歷史安全事件提醒
最新事件提醒

盜幣風險監控

安全意識教育

可能出現被盜的情況

游戲即資產，稀缺資源，成為游戲運營者。最後大BOSS死於暴露了自己的密鑰。
通過社工（社會工程學）【欺騙的藝術】黑客攻擊手法，虛擬景象做出錯誤判斷讓自己陷入危機。

人始終是系統中最薄弱的環節，幣安背鍋的黑客事件。大客戶泄露自己的賬戶，調用API介面，自動交易。雖然沒丟幣但是黑客在期貨市場盈利。

關於安全錢包的帖子（來自小白憤怒控訴，實際沒有理解整個機制）：
1、我沒私鑰和交易密碼，東西都在你們那我不知道安全在哪裡
2、密語算個毛，你告訴我拿著你們的密語能做什麼。

汽車和自行車事件，出了問題之後，弱勢的一方被原諒。負責的是更大的一方。平台替沒有安全意識的用戶背鍋。

對於大部分用戶來說，交易所的安全性比普通用戶自己管理的安全性要高，用戶的安全意識沒有提高，交給交易所幫助、協助你來管理你的錢包提示很多風險操作。

為什麼要隨機生成256位的密鑰，為什麼不能用戶自己去設置，如果自己設置會處於一個集中的區域，隨機值不夠，私鑰生成時就處於危險的狀態。

自己的安全認識不夠，所以自己造成的損失，先懟交易所先懟錢包。先想到得是你們的問題和漏洞造成的，不是我的操作失誤和密鑰泄露造成的。

幣派做的是大神和小白的交流之間的翻譯，做畫漫畫，寫段子的逗比。

幣小寶防騙指南漫畫，貢獻題材和內容。

⑦ 區塊鏈如何提高安全性和數據共享

針對現有區塊鏈技術的安全特性和缺點，需要圍繞物理、數據、應用系統、加密、風控等方面構建安全體系，整體提升區塊鏈系統的安全性能。
1、物理安全
運行區塊鏈系統的網路和主機應處於受保護的環境，其保護措施根據具體業務的監管要求不同，可採用不限於VPN專網、防火牆、物理隔離等方法，對物理網路和主機進行保護。
2、數據安全
區塊鏈的節點和節點之間的數據交換，原則上不應明文傳輸，例如可採用非對稱加密協商密鑰，用對稱加密演算法進行數據的加密和解密。數據提供方也應嚴格評估數據的敏感程度、安全級別，決定數據是否發送到區塊鏈，是否進行數據脫敏，並採用嚴格的訪問許可權控制措施。
3、應用系統安全
應用系統的安全需要從身份認證、許可權體系、交易規則、防欺詐策
略等方面著手，參與應用運行的相關人員、交易節點、交易數據應事前受控、事後可審計。以金融區塊鏈為例，可採用容錯能力更強、抗欺詐性和性能更高的共識演算法，避免部分節點聯合造假。
4、密鑰安全
對區塊鏈節點之間的通信數據加密，以及對區塊鏈節點上存儲數據加密的密鑰，不應明文存在同一個節點上，應通過加密機將私鑰妥善保存。在密鑰遺失或泄漏時，系統可識別原密鑰的相關記錄，如帳號控制、通信加密、數據存儲加密等，並實施響應措施使原密鑰失效。密鑰還應進行嚴格的生命周期管理，不應為永久有效，到達一定的時間周期後需進行更換。
5、風控機制
對系統的網路層、主機操作、應用系統的數據訪問、交易頻度等維度，應有周密的檢測措施，對任何可疑的操作，應進行告警、記錄、核查，如發現非法操作，應進行損失評估，在技術和業務層面進行補救，加固安全措施，並追查非法操作的來源，杜絕再次攻擊。

文章來源：中國區塊鏈技術和應用發展白皮書

⑧ 區塊鏈以什麼方式保證數據安全

在區塊鏈技術中，數字加密技術是其關鍵之處，一般運用的是非對稱加密演算法，即加密時的密碼與解鎖時的密碼是不一樣的。
簡單來說，就是我們有專屬的私鑰，只要把自己的私鑰保護好，把公鑰給對方，對方用公鑰加密文件生成密文，再將密文傳給你，我們再用私鑰解密得到明文，就能夠保障傳輸內容不被別人看到，這樣子，加密數據就傳輸完畢了。同時，還有數字簽名為我們加多一重保障，用來證明文件發給對方過程中沒有被篡改。
作為底層加密技術，區塊鏈加密技術能夠有效保障數據安全，改變當下數據易泄露、易被利用的現狀，讓個人信息數據得到全面的保護，也有望給物聯網、大數據、信用監管、移動辦公等領域帶來亟需的改變。

⑨ 區塊鏈錢包的私鑰如何備份有哪幾種方法

        當你在創建一個區塊鏈錢包的時候，創建成功之後，系統會自動生成錢包地址、公鑰、私鑰，然而這些需要你自己去備份，錢包不會幫你保存，那麼大家應該如何備份這些信息呢？又有幾種方法？

       第一，具備雙倍安全性的錢包，並把私鑰導入到Armory客戶端（1）進行冷儲存（2） ，用戶可以在客戶端中快速從冷儲存中找到所需私鑰，還有一個優點就是方便離線交易轉賬，不必每次都重新導入私鑰。同時電腦的操作系統需要設置密碼。

        第二，可以把錢包的私鑰和公鑰製作成電子版備份，同步到雲端。 你可以把它們復制粘貼為一個文檔，標記好名字，文檔可以以拼音的形式命名，可以亂碼，但是要額外的保存在另一個文檔里註明該文件是干什麼用的。但是這樣做的結果就是可能會忘記儲存的文件是哪個，因此你需要在手機備注好信息，同時需要把復習私鑰這件事安排為按時間重復的（如2個月復習一次）日程事件，時間到了手機或電腦提醒復習。而且不僅僅是回憶幾遍就可以了，是要到備份上打開那個生成私鑰的錢包中，重新登錄一遍，看看私鑰（和地址）是否正確。

        第三，用戶可以在文檔上寫下錢包的私鑰和公鑰以及地址， 命名的話，你自己看得懂就好，接著就把後綴名為jpg圖片格式，使其看起來就像一個壞掉的打不開的圖片，或者更甚，我們可以把這打不開的假圖片壓縮為zip格式並偽裝為一個真正的圖片，需要的時候再還原出來。具體更改方法可以上網路查找。

      第四，以上三種方法都是電子版的備份方法，還有一種簡單粗暴的方法就是在 日記本手抄私鑰公鑰， 使其看起來不那麼刻意、唐突，不過大家需要注意的是，抄寫的時候記得要寫得字體清晰、工整，避免字跡潦草而導致輸入私鑰錯誤。同時，保存的地方也是需要注意的，可以藏在家裡隱私的地方（有條件可以存銀行保險櫃）。

備份區塊鏈錢包私鑰的方法有以上4種方法，當然如果你有更好的備份方法，也可以分享出來，不必按部就班地使用上述備份方法的哦。最後，給一個備份建議：可以結合上述2到4種方法來備份私鑰，避免遺忘。

注釋：

（1）Armory客戶端：Armory 是一個功能齊全的比特幣客戶端，提供了許多其他客戶端軟體所沒有的創新功能！管理多個錢包（確定性和僅觀看）、列印永久工作的紙張備份、導入或刪除私鑰等。

（2）冷儲存：即比特幣錢包的冷儲存（Cold storage）。是指將錢包進行離線保存的一種方法。

⑩ 區塊鏈技術如何保障信息主體隱私和權益

隱私保護手段可以分為三類：
一是對交易信息的隱私保護，對交易的發送者、交易接受者以及交易金額的隱私保護，有混幣、環簽名和機密交易等。
二是對智能合約的隱私保護，針對合約數據的保護方案，包含零知識證明、多方安全計算、同態加密等。
三是對鏈上數據的隱私保護，主要有賬本隔離、私有數據和數據加密授權訪問等解決方案。
拓展資料：
一、區塊鏈加密演算法隔離身份信息與交易數據
1、區塊鏈上的交易數據，包括交易地址、金額、交易時間等，都公開透明可查詢。但是，交易地址對應的所用戶身份，是匿名的。通過區塊鏈加密演算法，實現用戶身份和用戶交易數據的分離。在數據保存到區塊鏈上之前，可以將用戶的身份信息進行哈希計算，得到的哈希值作為該用戶的唯一標識，鏈上保存用戶的哈希值而非真實身份數據信息，用戶的交易數據和哈希值進行捆綁，而不是和用戶身份信息進行捆綁。
2、由此，用戶產生的數據是真實的，而使用這些數據做研究、分析時，由於區塊鏈的不可逆性，所有人不能通過哈希值還原注冊用戶的姓名、電話、郵箱等隱私數據，起到了保護隱私的作用。
二、區塊鏈「加密存儲+分布式存儲」
加密存儲，意味著訪問數據必須提供私鑰，相比於普通密碼，私鑰的安全性更高，幾乎無法被暴力破解。分布式存儲，去中心化的特性在一定程度上降低了數據全部被泄漏的風險，而中心化的資料庫存儲，一旦資料庫被黑客攻擊入侵，數據很容易被全部盜走。通過「加密存儲+分布式存儲」能夠更好地保護用戶的數據隱私。
三、區塊鏈共識機制預防個體風險
共識機制是區塊鏈節點就區塊信息達成全網一致共識的機制，可以保障最新區塊被准確添加至區塊鏈、節點存儲的區塊鏈信息一致不分叉，可以抵禦惡意攻擊。區塊鏈的價值之一在於對數據的共識治理，即所有用戶對於上鏈的數據擁有平等的管理許可權，因此首先從操作上杜絕了個體犯錯的風險。通過區塊鏈的全網共識解決數據去中心化，並且可以利用零知識證明解決驗證的問題，實現在公開的去中心化系統中使用用戶隱私數據的場景，在滿足互聯網平台需求的同時，也使部分數據仍然只掌握在用戶手中。
四、區塊鏈零知識證明
零知識證明指的是證明者能夠在不向驗證者提供任何有用的信息的情況下，使驗證者相信某個論斷是正確的，即證明者既能充分證明自己是某種權益的合法擁有者，又不把有關的信息泄漏出去，即給外界的「知識」為「零」。應用零知識證明技術，可以在密文情況下實現數據的關聯關系驗證，在保障數據隱私的同時實現數據共享。