助记词漏洞致超700万美元加密资产被盗

Web3 2026-07-06 18:07:47
核心提要:区块链安全公司Coinspect披露名为“Ill Bloom”的严重漏洞,因部分软件钱包生成助记词时熵值不足,导致比特币、以太坊等多链上超700万美元资产被未授权转移。该问题追溯至2018年,主要影响非主流手机钱包用户。

“Ill Bloom”漏洞暴露:弱随机性致多链资产遭窃

区块链安全机构Coinspect指出,一类依赖助记词生成私钥的钱包存在系统性风险,根源在于种子短语生成过程中的随机性不足。该缺陷被命名为“Ill Bloom”,已引发跨多个公链的未授权资金转移事件,累计损失至少500万美元,并在近期新增约200万美元的资产外流。

弱熵生成机制成攻击入口,旧钱包尤具风险

该漏洞与部分软件钱包采用不安全的伪随机数生成器密切相关,尤其体现在那些使用低熵源生成种子短语的实现中。即便早在2018年创建的钱包也可能因此暴露,且受影响范围涵盖比特币、以太坊、Polygon、Rootstock、Tron及Solana等多个网络。目前尚无证据表明硬件钱包受此影响,但部分知名度较低的移动端钱包用户面临更高威胁。

攻击路径可预测,暴力破解可能性上升

Coinspect在其披露报告中表示,当助记词生成缺乏足够熵值时,攻击者可通过缩小有效短语空间,实施系统性暴力搜索。这种模式已在实际攻击中显现,表现为对特定钱包地址的定向资金提取。该问题并非新出现,但其长期潜伏特性使早期创建的钱包持续处于危险之中,尤其在未更新或未修复的实现中。

多链波及,损失规模或远超已知数据

初步分析显示,自5月27日起,有431个易受攻击地址被成功攻破,造成310万美元损失;周日再有约200万美元被盗。尽管当前数据仅覆盖部分链和地址,但Coinspect警告称,潜在暴露面可能更大,其他未公开分析的网络也可能存在类似风险。该公司暂未公布漏洞具体技术细节,强调现阶段重点是协助用户评估自身风险。

硬件钱包更安全,主流软件仍存差异

根据调查,使用硬件设备生成种子的用户未被发现受影响,而大多数主流软件钱包也未表现出明显弱点。然而,最易受攻击的群体集中于使用非主流手机应用创建助记词的用户。这一区分凸显了钱包实现方式在安全性上的显著差异,提示用户不应仅凭品牌知名度判断安全性。

历史案例印证:随机性缺陷为长期隐患

“Ill Bloom”延续了加密领域反复出现的安全模式——即种子生成阶段熵值不足引发系统性风险。2023年,Ledger曾报告Trust Wallet扩展插件因熵值受限,将可能组合压缩至约40亿个,使暴力破解可在单日内完成。同年,Libbitcoin Explorer也因类似漏洞导致约90万美元被盗。这些先例表明,即使漏洞未立即爆发,其后果可能长期存在,对早年创建的钱包构成持续威胁。

用户应主动验证,及时采取防护措施

Coinspect已上线一款免费钱包检查工具,供用户检测其地址是否处于暴露状态。建议所有持有数字资产者优先通过工具自查,而非依赖品牌声誉。若发现异常交易,应考虑其与种子生成缺陷相关,而非单纯账户泄露。由于当前暴露范围尚未完全确认,主动排查成为降低潜在损失的关键行动步骤。

上一篇 Kraken推代币化股票抵押功能,10大...
下一篇 Alien Worlds 突发暴涨:元宇...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U