Từ "Bắt Gió Truy Ảnh" nói lên: 2048 từ quyết định tài sản tiền mã hóa trị giá hàng nghìn tỷ đô la
Tuyển chọn TechFlowTuyển chọn TechFlow
Từ "Bắt Gió Truy Ảnh" nói lên: 2048 từ quyết định tài sản tiền mã hóa trị giá hàng nghìn tỷ đô la
Sử dụng ví đáng tin cậy, sao lưu cụm từ khôi phục ngoại tuyến, tuyệt đối không tiết lộ cho người khác.
Chuyên sâu báo cáo Web3Tác giả: Tyler
Gần đây tôi có xem bộ phim mới của Thành Long mang tên "Bắt Gió Truy Ảnh", trong phim có một tình tiết khá thú vị – hàng chục tỷ đô la Hồng Kông tiền mã hóa bị khóa trong ví với cụm từ khôi phục gồm 12 từ, và đến cuối cùng chỉ còn thiếu một từ duy nhất.
Tôi đã thử kiểm tra, phát hiện ra từ thứ 10 và thứ 12 không nằm trong danh sách từ chuẩn, rõ ràng biên kịch cố tình viết như vậy để tránh ai đó sao chép theo cốt truyện nhằm tái tạo ví lừa đảo, vì trên blockchain những trò gian lận kiểu này không hề hiếm:
Kẻ lừa đảo thường cố ý tiết lộ địa chỉ ví "có số dư", đặc biệt trên mạng lưới Tron (sử dụng cơ chế Owner), dụ mọi người nạp Gas vào, ngồi chờ mồi, một khi tiền được chuyển vào sẽ mất trắng hoàn toàn.
Nhưng điều thú vị ở đây là, phim nói rằng chỉ còn thiếu đúng một từ. Trên thực tế, cụm từ khôi phục tuân theo tiêu chuẩn BIP39, tổng cộng chỉ có 2048 từ, nghĩa là việc dò vét cạn từ cuối cùng tối đa cũng chỉ có 2048 khả năng. Nếu thu hẹp phạm vi hơn nữa, ví dụ như trong phim biết trước chữ cái đầu là "es", thì khả năng càng ít hơn, chỉ cần một phút là thử hết.
Tuy nhiên, vấn đề đáng suy ngẫm hơn ngoài phim ảnh là: Cụm từ khôi phục, khóa riêng, khóa công – rốt cuộc có mối quan hệ gì? Vì sao mất cụm từ khôi phục đồng nghĩa với mất sạch tài sản?
Một, Cụm từ khôi phục : Khóa riêng : Khóa công/Địa chỉ = "Chìa khóa cả chùm" : "Chìa khóa" : "Số nhà"
Cụm từ khôi phục là phương pháp sao lưu theo tiêu chuẩn BIP39, thông qua thuật toán chọn ngẫu nhiên và kết hợp 12, 18 hoặc 24 từ từ kho từ tiếng Anh gồm 2048 từ.
Bộ cụm từ khôi phục sau khi xử lý bằng thuật toán PBKDF2 sẽ tạo thành một khóa gốc (Seed), rồi từ khóa gốc này theo các chuẩn đường dẫn như BIP32/BIP44, sinh ra một loạt khóa riêng, từ đó tương ứng với một loạt khóa công/địa chỉ.
Một bộ cụm từ khôi phục → Sinh ra nhiều khóa riêng → Sinh ra nhiều khóa công → Tương ứng nhiều địa chỉ
Nói cách khác:
-
Cụm từ khôi phục = Chìa khóa cả chùm, thường có quan hệ một-nhiều với khóa riêng, về lý thuyết một bộ cụm từ khôi phục có thể sinh ra hàng ngàn thậm chí hàng vạn khóa riêng;
-
Khóa riêng = Chìa khóa, mỗi khóa riêng tương ứng quyền sử dụng một địa chỉ;
-
Khóa công/Địa chỉ = Số nhà, có thể công khai, người khác dùng nó để chuyển tiền cho bạn;
Vì vậy, có thể xem cụm từ khôi phục như "chùm chìa khóa" của bạn, còn mỗi khóa riêng giống như một chiếc chìa khóa mở cửa, dùng để ký xác nhận quyền kiểm soát một địa chỉ ví — khi bạn khởi tạo giao dịch, chính là dùng khóa riêng để ký, thông báo toàn mạng: "Giao dịch này do tôi ủy quyền".
Hai, Vậy có thể tự chọn cụm từ khôi phục không?
Có lẽ có người sẽ nghĩ: Tôi có thể tự chọn 12 từ không? Ví dụ như ngày sinh, từ tiếng Anh yêu thích, tên thần tượng... như vậy sẽ cá tính hơn.
Câu trả lời là: Có thể, nhưng cực kỳ nguy hiểm.
Bởi vì số ngẫu nhiên do máy tính tạo ra là ngẫu nhiên thật, còn con người khi chọn từ hầu như luôn mang theo quy luật (từ phổ biến, thói quen dùng từ, xu hướng sắp xếp), điều này làm giảm mạnh không gian tìm kiếm, khiến cụm từ khôi phục của bạn dễ bị đoán trúng hơn rất nhiều.
Trước đây từng xảy ra sự cố an ninh liên quan đến ví "ngẫu nhiên giả", một số ví khi tạo cụm từ khôi phục sử dụng thuật toán ngẫu nhiên giả, dẫn đến entropy quá thấp, bị hacker dò vét cạn trực tiếp — năm 2015, tổ chức tin tặc Blockchain Bandit tận dụng bộ tạo số ngẫu nhiên lỗi và lỗ hổng mã chương trình, hệ thống hóa việc tìm kiếm khóa riêng yếu, thành công quét ra hơn 700.000 địa chỉ ví yếu kém, đánh cắp hơn 50.000 ETH từ đó.
Tất nhiên, một số kỹ sư giỏi có thể dùng xúc xắc (phải đảm bảo xúc xắc đủ đều) để tạo số ngẫu nhiên, rồi ánh xạ sang kho từ BIP39, như vậy mới gọi là an toàn thủ công, nhưng với đa số người, không cần thiết phải phức tạp như vậy, ngược lại dễ mắc sai lầm.
Ba, Có thể dò vét cạn để tìm ví của V神 hay các cá voi lớn khác không?
Câu hỏi này tôi cũng từng tưởng tượng, mơ tưởng một ngày nào đó tạo ra một ví, kiểm tra thấy bên trong có hàng trăm nghìn ETH, lập tức trở nên giàu có, "ăn cắp nhà" một con cá voi nào đó.
Phải thừa nhận, chỉ cần nghĩ thôi cũng đã hấp dẫn lắm rồi. Nhưng thực tế là: Xác suất gần như bằng không.
Tại sao? Bởi vì số lượng tổ hợp có thể có của cụm từ khôi phục đã lớn đến mức vượt xa trí tưởng tượng của con người:
-
12 từ: Số tổ hợp hiệu lực khoảng 2¹²⁸ ≈ 3.4 × 10³⁸
-
24 từ: Số tổ hợp hiệu lực khoảng 2²⁵⁶ ≈ 1.16 × 10⁷⁷
Quy mô này là bao nhiêu?
Chúng ta đều biết cát trên Trái Đất nhiều đến mức không đếm xuể, nhưng các nhà khoa học đã ước tính một giá trị gần đúng, giả sử tất cả bãi biển, sa mạc trên Trái Đất cộng lại, tổng số hạt cát khoảng 7.5×10¹⁸ hạt, điều này có nghĩa là:
-
Số tổ hợp hiệu lực của 12 từ bằng khoảng 4.5 × 10¹⁹ lần tổng số hạt cát trên Trái Đất
-
Số tổ hợp hiệu lực của 24 từ còn gấp tới 1.5 × 10⁵⁸ lần tổng số hạt cát trên Trái Đất
Nói cách khác, giống như mỗi hạt cát trên Trái Đất biến thành một "Trái Đất mới", mỗi Trái Đất mới lại có bãi biển và cát, rồi bạn phải chọn ngẫu nhiên đúng một hạt mà bạn đã đánh dấu trước đó trong toàn bộ số cát ấy.
Điều này đã vượt xa quy mô mà con người có thể hình dung.
Vì vậy, xác suất phá mật khẩu ví không phải là "rất thấp", mà dưới vật lý học và năng lực tính toán hiện tại, thực chất bằng không, muốn phát tài bằng cách "dò vét", chi bằng đi mua vé số, xác suất trúng thưởng còn cao hơn nhiều.
Quay lại cài đặt trong phim: Nếu thực sự có người chỉ còn thiếu một từ trong cụm từ khôi phục, thì đúng là hoàn toàn có thể thử dò vét.
Cuối cùng, vài mẹo nhỏ về an toàn ví/cụm từ khôi phục/khóa riêng:
-
Ưu tiên dùng ví phi tập trung đã được kiểm chứng qua thời gian và thị trường, mã nguồn mở đã được kiểm toán, như MetaMask, Trust Wallet, SafePal... nếu có điều kiện thì dùng ví phần cứng;
-
Cụm từ khôi phục và khóa riêng, tuyệt đối không chụp màn hình, không lưu lên đám mây, không sao chép dán, không gửi cho người khác;
-
Tốt nhất ghi bằng bút giấy (có thể cân nhắc dùng bảng inox ghi cụm từ khôi phục, chống ẩm, chống cháy, chống ăn mòn), cất ở nơi an toàn, và sao lưu tại 2-3 địa điểm khác nhau;
-
Khóa công/địa chỉ có thể công khai thoải mái, nó chính là số nhà của bạn, nhưng cần chú ý nhận diện các liên kết giả mạo;
-
Nên dùng thiết bị sạch để quản lý ví, không tùy tiện cài plugin hay ứng dụng không rõ nguồn gốc;
-
Ghi nhớ một câu: Bất kỳ ai hỏi bạn xin cụm từ khôi phục, 100% là kẻ lừa đảo.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
