区块链私钥泄密

① 区块链中的私钥和公钥

公开密钥（public key，简称公钥）、私有密钥（private key，简称私钥）是密码学里非对称加密算法的内容。顾名思义，公钥是可以公开的，而私钥则要进行安全保管。

私钥是由随机种子生成的，公钥是将私钥通过算法推导出来。 由于公钥太长，为了简便实用，就出现了“地址”，地址是公钥推导出来的。这些推导过程是单向不可逆的。也就是地址不能推出公钥，公钥不能推出私钥。

从中我们可以看出，公钥与私钥是成对存在的。它们的用处用16个字来概括： 公钥加密，私钥解密；私钥签名，公钥验签。

公钥加密，私钥解密。也就是用公钥加密原数据，只有对应的私钥才能解开原数据。这样能使得原数据在网络中传播不被窃取，保护隐私。

私钥签名，公钥验签。用私钥对原数据进行签名，只有对应的公钥才能验证签名串与原数据是匹配的。

可以用锁头，钥匙来比喻公钥，私钥。锁头用来锁定某物品，钥匙来解锁该物品。钥匙所有者是物品的所有者。事实上就是这样，公私钥对奠定了区块链的账户体系及资产（Token等）的所有权，区块链的资产是锁定在公钥上的，私钥是用来解锁该资产然后使用。比如说我要转让资产给你，就是我用我的私钥签名了一笔我转让资产给你的交易（含资产，数量等等）提交到区块链网络里，节点会验证该签名，正确则从我的公钥上解锁资产锁定到你的公钥上。

我们看到了私钥的作用了吧，跟中心化记账系统（支付宝、微信支付等）的密码一样重要，拥有私钥就拥有了资产所有权，所以我们千万要保管好私钥，不能泄露。

② 区块链安全性主要通过什么来保证

区块链技术是一种分布式记录技术，它通过对数据进行加密和分布式存储，来保证数据的安全性和可靠性。
主要通过以下几种方式来保证区块链的安全性：
1.加密技术：区块链采用的是对称加密和非对称加密算法，可以有效保护数据的安全。
2.分布式存储：区块链的数据不是集中存储在单一节点上，而是分散存储在网络中的各个节点上，这有效防止了数据的篡改和丢失。
3.共识机制：区块链通常采用共识机制来确认交易的合法性，这有助于防止恶意交易的发生。
4.合约机制：区块链可以通过智能合约来自动执行交易，这有助于防止操纵交易的发生。
区块链技术在实现安全性的同时，也带来了一些挑战。例如，区块链的安全性可能受到漏洞的攻击，或者因为私钥泄露而导致资产被盗。因此，在使用区块链技术时，还需要注意身份认证、密码安全等方面的问题，以确保区块链的安全性。
此外，区块链技术的安全性也可能受到政策、法规等方面的影响。例如，在某些国家和地区，区块链技术可能会受到审查和限制，这也可能会对区块链的安全性产生影响。
总的来说，区块链技术的安全性主要通过加密技术、分布式存储、共识机制和合约机制等方式来保证，但是还需要注意其他方面的挑战和影响因素。

③ 2018-07-13小白学区块链——私钥·公钥

在生活中移动支付和无现金支付已经相对普及了，它方便了我们的日常生活，也降低了我们随身携带现金的风险。无论是移动端支付还是银行卡类支付，我们都要绑定或输入银行卡号和支付密码才能支付，那么在比特币的交易中是如何达成支付的呢？

1.私钥

在比特币网络中的私钥可以对应我们现实世界银行卡号加支付密码，也就是： 私钥=银行卡号+取款密码。 私钥是比特币网络中根据密码学上的一种伪随机算法生成一种不可预算的一串字符，由于生成的私钥是256位数的二进制密码。因为私钥太长，识别率不高。所以系统又对于原始的随机数进行一定的转换，转换为识别率高的字符串形式的私钥，比如：也可以把私钥转换其他形式，比如以单词的形式(12或者24个单词）的助记词。还有一种是经过加密的私钥Keystore,是以文件形式存在的，导出时需要设置密码，导入也一样的需要输入密码，即使别人知道了你的Keystore，没有你设的密码也是得不到你的私钥的。

2.公钥

公钥也就是我们通常所说的转账地址。公钥是由私钥生成的，通过椭圆曲线算法生成，一个私钥经过椭圆曲线变换之后能够得到公钥，公钥也是一组转换后的字符串，比如：。公钥是用来验证私钥的签名，私钥和公钥是成对出现的，一个私钥签名的数据，只有对应的公钥才能对其进行验证，而地址也是从公钥生成的，这样就可以验证花费的交易是不是属于这个地址。简单理解也就是： 公钥=银行卡账号。

总结

1.是私钥生成公钥也是成对出现的，公钥可以生成对应的唯一地址，验证发送交易的地址是否和该公钥生成的地址一致

2.公钥验证私钥的签名，用来验证该交易是否使用了正确的私钥签名，这样就能确认了该地址发送的交易是否使用了对应的私钥。

④ 区块链不能随便告诉给别人是:BTC私钥还是BTC地址还是钱包安全密码

这是重要性排序：BTC私钥、钱包安全密码、BTC地址
私钥是一切，一定不能告诉任何人。
只要有私钥就可以重新导入钱包，重新设置钱包安全密码。
一个BTC账户可以有很多地址，所以里面最不重要的就是地址。不管多不重要，都不能随便告诉别人。

⑤ 区块链的私钥要是丢了有什么办法找回吗

先说结论：找不回！
区块链之所以有匿名性，就是因为上面没有你的身份，有的就只有地址和私钥，要对地址上的资产进行操作，私钥是唯一且必须的条件。作为区块链用户来说，私钥就是一切。并且为了保证区块链的安全，以目前的算力和技术，从地址倒推私钥是绝对不可能可行的。如果可行，那么整个区块链上所有的地址均失去了安全性，区块链上的资产就都失去了意义。
那么这么难记的私钥到底要怎么解决应用问题呢，目前来看，区块链钱包其实已经一定程度上满足需求了，已经很少有人真的去记那样复杂的私钥来玩区块链了。可信的第三方私钥托管机构也是一种选择（其实和在线热钱包的概念很接近），然后和生物识别技术结合的私钥体系也可以是一种探索方向。（指纹、声纹等等）
更多区块链有关的内容欢迎浏览我的汇总帖：
https://bbs.bumeng.cn/thread-848-1-1.html?hmsr=%E6%90%9C%E6%90%9C%E9%97%AE%E9%97%AE&hmpl=&hmcu=&hmkw=&hmci=

⑥ Chainge技术沙龙（0414）-区块链技术的安全隐患

虚拟机设计

零钱整理

慢雾科技介绍

01| The Dao事件
以太坊第一个安全大事件
智能合约的取款
新建一个Bank，存入一部分钱，用Dao框架不停取钱。
取款-判断余额-取款操作框架-转空该账户下的所有钱。
简单的例子就是，你的银行卡有余额100万，你需要买一个10块钱的饮料，但是支付的过程有漏洞，所以你银行卡的所有钱都被转走。

一、外部调用

02| 以太坊黑色情人节
起源：第一转账时间是2.14

ETH节点统计
客户端、客户端版本、OS系统。整个系统的庞杂

蜜罐检测 （部署陷阱能检测出黑客的点来）

net_version
判断是主网还是测试网，只攻击主网
3000+主网节点完全暴露

eth_accounts
获取钱包账号，涉及钱包账号

eth_getBanlance
获取有多少钱，被盗46000+ETH

why?
unlockAccount 函数介绍
该函数将使用密码从本地的keystore 里提取private key 并存储在内存中,函数第三个参数ration 表示解密后private key 在内存中保存默认是300 秒; 如果设置为0,则表的时间，示永久存留在内存，直至Geth/Parity 退出。
详见:
https://github.com/ethereumgethereum/wiki/Management-APIs#personal_unlockaccount

节点存用户的keystore信息（严重危险）

eth_getBlockByNumber
墨子扫描引擎，扫描有问题的节点，慢雾的以太坊安全事件的披露
被盗ETH，市值，被盗钱包数
具体内容可以查看慢雾发布的 以太坊黑色情人节专题

生态相关
ETH：矿池、钱包、web3、smart contract、dapp
BTC:矿池、钱包、Lightning Network

BTC RPC
防御建议

管理数十万用户安全的接近百万的比特币

华人世界唯一被bitcoin.org网站展示的钱包

比特派多种区块链资产（BTC、ETH、Token、分叉）
冷热结合，确保安全
比特派-热钱包
比特护盾-冷钱包/硬件钱包

区块链安全事件

私钥决定了区块链资产的所有权，丢了私钥也就相当于丢了一切。私钥就是一个随机数，这个随机数的概率空间很大(256 位，即2^256)

钱包=生态入口
需要在安全的同时做到尽可能的开放

玩法的开放，技术的开放，通用的技术接口，生态的开放，把自己的资源进行导入。合作伙伴计划：技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助伙伴实现区块链转型或区块链项目孵化，安全、便捷实现真正落地的区块链应用场景。

联系方式 [email protected]

用户风控系统，数百万的数字货币用户。
最大可能保持我们的数字资产

骗子故事：抢数字货币份额，钱没到账，冒充官方，交出助记词

恶意钱包地址库
诈骗钱包、黑客钱包、羊毛党钱包

恶意网站库
钓鱼网站、空投网站、交易所、众筹

风险合约库
重名币、空格币、风险合约

安全事件库
历史安全事件提醒
最新事件提醒

盗币风险监控

安全意识教育

可能出现被盗的情况

游戏即资产，稀缺资源，成为游戏运营者。最后大BOSS死于暴露了自己的密钥。
通过社工（社会工程学）【欺骗的艺术】黑客攻击手法，虚拟景象做出错误判断让自己陷入危机。

人始终是系统中最薄弱的环节，币安背锅的黑客事件。大客户泄露自己的账户，调用API接口，自动交易。虽然没丢币但是黑客在期货市场盈利。

关于安全钱包的帖子（来自小白愤怒控诉，实际没有理解整个机制）：
1、我没私钥和交易密码，东西都在你们那我不知道安全在哪里
2、密语算个毛，你告诉我拿着你们的密语能做什么。

汽车和自行车事件，出了问题之后，弱势的一方被原谅。负责的是更大的一方。平台替没有安全意识的用户背锅。

对于大部分用户来说，交易所的安全性比普通用户自己管理的安全性要高，用户的安全意识没有提高，交给交易所帮助、协助你来管理你的钱包提示很多风险操作。

为什么要随机生成256位的密钥，为什么不能用户自己去设置，如果自己设置会处于一个集中的区域，随机值不够，私钥生成时就处于危险的状态。

自己的安全认识不够，所以自己造成的损失，先怼交易所先怼钱包。先想到得是你们的问题和漏洞造成的，不是我的操作失误和密钥泄露造成的。

币派做的是大神和小白的交流之间的翻译，做画漫画，写段子的逗比。

币小宝防骗指南漫画，贡献题材和内容。

⑦ 区块链如何提高安全性和数据共享

针对现有区块链技术的安全特性和缺点，需要围绕物理、数据、应用系统、加密、风控等方面构建安全体系，整体提升区块链系统的安全性能。
1、物理安全
运行区块链系统的网络和主机应处于受保护的环境，其保护措施根据具体业务的监管要求不同，可采用不限于VPN专网、防火墙、物理隔离等方法，对物理网络和主机进行保护。
2、数据安全
区块链的节点和节点之间的数据交换，原则上不应明文传输，例如可采用非对称加密协商密钥，用对称加密算法进行数据的加密和解密。数据提供方也应严格评估数据的敏感程度、安全级别，决定数据是否发送到区块链，是否进行数据脱敏，并采用严格的访问权限控制措施。
3、应用系统安全
应用系统的安全需要从身份认证、权限体系、交易规则、防欺诈策
略等方面着手，参与应用运行的相关人员、交易节点、交易数据应事前受控、事后可审计。以金融区块链为例，可采用容错能力更强、抗欺诈性和性能更高的共识算法，避免部分节点联合造假。
4、密钥安全
对区块链节点之间的通信数据加密，以及对区块链节点上存储数据加密的密钥，不应明文存在同一个节点上，应通过加密机将私钥妥善保存。在密钥遗失或泄漏时，系统可识别原密钥的相关记录，如帐号控制、通信加密、数据存储加密等，并实施响应措施使原密钥失效。密钥还应进行严格的生命周期管理，不应为永久有效，到达一定的时间周期后需进行更换。
5、风控机制
对系统的网络层、主机操作、应用系统的数据访问、交易频度等维度，应有周密的检测措施，对任何可疑的操作，应进行告警、记录、核查，如发现非法操作，应进行损失评估，在技术和业务层面进行补救，加固安全措施，并追查非法操作的来源，杜绝再次攻击。

文章来源：中国区块链技术和应用发展白皮书

⑧ 区块链以什么方式保证数据安全

在区块链技术中，数字加密技术是其关键之处，一般运用的是非对称加密算法，即加密时的密码与解锁时的密码是不一样的。
简单来说，就是我们有专属的私钥，只要把自己的私钥保护好，把公钥给对方，对方用公钥加密文件生成密文，再将密文传给你，我们再用私钥解密得到明文，就能够保障传输内容不被别人看到，这样子，加密数据就传输完毕了。同时，还有数字签名为我们加多一重保障，用来证明文件发给对方过程中没有被篡改。
作为底层加密技术，区块链加密技术能够有效保障数据安全，改变当下数据易泄露、易被利用的现状，让个人信息数据得到全面的保护，也有望给物联网、大数据、信用监管、移动办公等领域带来亟需的改变。

⑨ 区块链钱包的私钥如何备份有哪几种方法

        当你在创建一个区块链钱包的时候，创建成功之后，系统会自动生成钱包地址、公钥、私钥，然而这些需要你自己去备份，钱包不会帮你保存，那么大家应该如何备份这些信息呢？又有几种方法？

       第一，具备双倍安全性的钱包，并把私钥导入到Armory客户端（1）进行冷储存（2） ，用户可以在客户端中快速从冷储存中找到所需私钥，还有一个优点就是方便离线交易转账，不必每次都重新导入私钥。同时电脑的操作系统需要设置密码。

        第二，可以把钱包的私钥和公钥制作成电子版备份，同步到云端。 你可以把它们复制粘贴为一个文档，标记好名字，文档可以以拼音的形式命名，可以乱码，但是要额外的保存在另一个文档里注明该文件是干什么用的。但是这样做的结果就是可能会忘记储存的文件是哪个，因此你需要在手机备注好信息，同时需要把复习私钥这件事安排为按时间重复的（如2个月复习一次）日程事件，时间到了手机或电脑提醒复习。而且不仅仅是回忆几遍就可以了，是要到备份上打开那个生成私钥的钱包中，重新登录一遍，看看私钥（和地址）是否正确。

        第三，用户可以在文档上写下钱包的私钥和公钥以及地址， 命名的话，你自己看得懂就好，接着就把后缀名为jpg图片格式，使其看起来就像一个坏掉的打不开的图片，或者更甚，我们可以把这打不开的假图片压缩为zip格式并伪装为一个真正的图片，需要的时候再还原出来。具体更改方法可以上网络查找。

      第四，以上三种方法都是电子版的备份方法，还有一种简单粗暴的方法就是在 日记本手抄私钥公钥， 使其看起来不那么刻意、唐突，不过大家需要注意的是，抄写的时候记得要写得字体清晰、工整，避免字迹潦草而导致输入私钥错误。同时，保存的地方也是需要注意的，可以藏在家里隐私的地方（有条件可以存银行保险柜）。

备份区块链钱包私钥的方法有以上4种方法，当然如果你有更好的备份方法，也可以分享出来，不必按部就班地使用上述备份方法的哦。最后，给一个备份建议：可以结合上述2到4种方法来备份私钥，避免遗忘。

注释：

（1）Armory客户端：Armory 是一个功能齐全的比特币客户端，提供了许多其他客户端软件所没有的创新功能！管理多个钱包（确定性和仅观看）、打印永久工作的纸张备份、导入或删除私钥等。

（2）冷储存：即比特币钱包的冷储存（Cold storage）。是指将钱包进行离线保存的一种方法。

⑩ 区块链技术如何保障信息主体隐私和权益

隐私保护手段可以分为三类：
一是对交易信息的隐私保护，对交易的发送者、交易接受者以及交易金额的隐私保护，有混币、环签名和机密交易等。
二是对智能合约的隐私保护，针对合约数据的保护方案，包含零知识证明、多方安全计算、同态加密等。
三是对链上数据的隐私保护，主要有账本隔离、私有数据和数据加密授权访问等解决方案。
拓展资料：
一、区块链加密算法隔离身份信息与交易数据
1、区块链上的交易数据，包括交易地址、金额、交易时间等，都公开透明可查询。但是，交易地址对应的所用户身份，是匿名的。通过区块链加密算法，实现用户身份和用户交易数据的分离。在数据保存到区块链上之前，可以将用户的身份信息进行哈希计算，得到的哈希值作为该用户的唯一标识，链上保存用户的哈希值而非真实身份数据信息，用户的交易数据和哈希值进行捆绑，而不是和用户身份信息进行捆绑。
2、由此，用户产生的数据是真实的，而使用这些数据做研究、分析时，由于区块链的不可逆性，所有人不能通过哈希值还原注册用户的姓名、电话、邮箱等隐私数据，起到了保护隐私的作用。
二、区块链“加密存储+分布式存储”
加密存储，意味着访问数据必须提供私钥，相比于普通密码，私钥的安全性更高，几乎无法被暴力破解。分布式存储，去中心化的特性在一定程度上降低了数据全部被泄漏的风险，而中心化的数据库存储，一旦数据库被黑客攻击入侵，数据很容易被全部盗走。通过“加密存储+分布式存储”能够更好地保护用户的数据隐私。
三、区块链共识机制预防个体风险
共识机制是区块链节点就区块信息达成全网一致共识的机制，可以保障最新区块被准确添加至区块链、节点存储的区块链信息一致不分叉，可以抵御恶意攻击。区块链的价值之一在于对数据的共识治理，即所有用户对于上链的数据拥有平等的管理权限，因此首先从操作上杜绝了个体犯错的风险。通过区块链的全网共识解决数据去中心化，并且可以利用零知识证明解决验证的问题，实现在公开的去中心化系统中使用用户隐私数据的场景，在满足互联网平台需求的同时，也使部分数据仍然只掌握在用户手中。
四、区块链零知识证明
零知识证明指的是证明者能够在不向验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的，即证明者既能充分证明自己是某种权益的合法拥有者，又不把有关的信息泄漏出去，即给外界的“知识”为“零”。应用零知识证明技术，可以在密文情况下实现数据的关联关系验证，在保障数据隐私的同时实现数据共享。