纸质比特币钱包会被盗吗？为什么纸质比特币钱包会被盗？

中易财经8月26日消息，在加密货币的世界里，钱包对应的私钥就相当于钱包里存放的资产，是唯一可以使用钱包里资金的代币。不当的生成或管理会造成巨大的安全漏洞，几乎所有的加密货币盗窃事件都与不当的私钥生成或管理有关。

除了交易，比特币钱包通常还负责生成私钥。一些安全意识较高的用户会使用“离线生成私钥”的方式。密钥被导入钱包进行交易。在离线生成私钥的方式中，“纸钱包”受到很多人的推崇。用户只需要准备一台干净安全的电脑，连接“纸钱包生成网站”，断开网络，直接使用网站即可。使用生成私钥的功能，您可以获得一组新的私钥和对应的钱包地址。

原理是私钥的生成不需要联网。私钥本身是一串随机数。生成过程只需要一个“足够随机”且符合标准的随机种子。 “纸钱包生成网站”通常会提供一个可以离线工作的 JavaScript 程序。当用户电脑断开网络并点击生成私钥时，程序会使用一些混乱的因素（例如：鼠标轨迹、键盘输入和系统时间等信息）作为参数的一部分，并获取一个标准随机数从系统随机数池中生成私钥。但是这样生成的私钥真的安全吗？

通过下面的分析，用户会发现，即使电脑干净安全，生成私钥的过程并没有联网，用于打印纸张的打印机服务也没有驱动拦截钱包，即使在这种情况下，在完全安全的环境下，通过“纸钱包生成网站”生成的私钥仍有可能存在危险！

Cypherpunks Taiwan 创始人陈博伟与信息安全公司 CYBAVO 合作，发现有人使用特定网站的纸钱包的人的私钥被盗。经CYBAVO进一步追踪发现，大部分“纸钱包”钱包生成网站“都是二次开发，使用与BitAddress.org相同的JavaScript源代码。这些网站上有很多知名的“纸钱包生成网站”，如如WalletGenerator.net 和BitcoinPaperWallet.com，已确认有后门。

正如 The Blocker 之前报道的那样，由加密货币纸钱包生成器 WalletGenerator.net 运行的代码被证明是“易受攻击的”钱包里的比特币会被没收吗，允许批量生成器重复发送相同的一组钱包私钥和公钥到多个用户，但实际上每个人得到的密钥应该是唯一的，并且是随机生成的。

不得不提的是，为了保证纸钱包的安全，密钥必须是随机生成的。但是，大多数“纸钱包生成网站”都会修改代码，其中一些是粗略的。它将上传用户随机生成的私钥信息；有的为了避免用户在生成私钥时断网，或者上传私钥时引起警觉，只会修改随机数区间，使得私钥只会在一定的重复范围内生成，即无论用户执行多少次私钥的生成，私钥只会在数百组中重复生成。密钥不能称为随机生成，更别说“唯一”了。

对此，提供源代码的BitAddress.org作者只能在用户回复中声明这些事件无关紧要，但无法有效压制。尽管部分网站被列为可疑页面，但仍有不少“纸钱包生成网站”在更改网站外观和地址后重新上线钱包里的比特币会被没收吗，例如 AmazonPowers.com（百度搜索前三名）。用户需要特别注意避免在这些恶意的“纸钱包生成网站”上生成私钥。

CYBAVO经过实际测试成功生成了重复的私钥。同时，私钥的相对地址也有比特币交易记录。相关地址列表如下。如果读者的钱包是通过“纸钱包”网站生成的，并且生成的地址在列表中，请立即转账并丢弃钱包。目前有不少地址有交易记录，一旦资金进入这些钱包，就会立即转出。很明显，黑客利用这个漏洞随时监控这些地址，一有钱就立即转移。