密码学团队硬核解析：Wintermute 遭黑客攻击损失 1.6 亿美金背后密码技术详解

我们可以大概评估一下总的计算次数。原始种子范围是 $(0, 2^{32})$，开头是 8 个 8，假设用户选择使用首次匹配地址，则需要计算次数为 $2^{32} * 2^{32} = 2^{64}$次，而这已经是个不小的量级。

接着评估一下破解时间。以我本地电脑为例，计算首次靓号地址耗时平均大概是 10 秒 （简单三次评估），那么暴力破解靓号地址私钥需要耗时（以月计) $2^{32} * 10 / ( 3600 * 24 * 30 ) = 16570$月。

对应 32 bit 安全随机数，我们定义随机种子空间， $R = [0, 2^{32})$；由于伪随机数算法 mt19937 本质上是个确定性算法，因此种子私钥的计算就是确定性的，种子公钥 的计算也是确定性的。

$R = [0, 2^{32})$ $SeedPriv= mt19937(i), i\in R$ $SeedPub= SeedPriv * G$

为简化表述，我们定义函数：$f(x)=mt19937(x)*G$

记种子公钥集合为 $Set_{SeedPub}$，那么有：

$Set_{SeedPub} = \{f(i) \mid i \in R, R=[0, 2^{32}) \}$

显然，种子公钥的数量是 $2^{32}$。

Profanity 从种子公钥开始进行并发多轮迭代（Iteration）操作，生成一系列的候选公钥。整个迭代操作本质上是一个以指定种子公钥为中心的公钥搜索和遍历算法。具体的，迭代是基于轮序号 ($round$，记为 $r$) 和轮内序号 ($foundID$，记为$fid$) 两个维度下的线性搜索操作。

$CandidatePub_{r, fid} = SeedPub + \Delta(r, fid) * G$

$\Delta(r, fid) = r * k_1 + fid * k_2$

其中 $k1$ 和 $k2$ 是两个常数，$G$ 是椭圆曲线基点。

$CandidateSet_{Pub} = \{CandidatePub_{r,fid} \mid r \in [0, r_{max}), fid \in [0, fid_{max}) \}$

代入 $CandidatePub_{r,fid}$ 定义，即：

$Set_{CandidatePub} = \{SeedPub + \Delta(r, fid) G \mid r \in [0, r_{max}), fid \in [0, fid_{max}) \}$其中 $r_{max}$ 和 $fid_{max}$ 分别是轮序号上限和轮内序号上限，定义迭代搜索空间的大小。

$SeedPub$ 取不同的值，就会生成不同的备选公钥集合。

例如：$SeedPub = f(2)$，则有：

$Set_{CandidatePub} = \{f(2) + \Delta(r, fid) G \mid r \in [0, r_{max}), fid \in [0, fid_{max}) \}$

$\Delta_{r_1,fid_1} - \Delta_{r_2, fid_2} = \Delta_{r1-r2,fid_1-fid_2}$

基于每个备选公钥，计算 eth 地址。随后使用模式过滤器，筛出靓号地址。这里，我们把靓号地址所构成的集合记为 $Set_{VanityAddr}$。

种子公钥集合 $Set_{SeedPub}$ 的元素个数上限也是 $2^{32}$，这不是个很大的数字，将其穷举出来，整个集合$Set_{SeedPub}$，包括其对应私钥，所占存储空间大概是 300 G，一台电脑就可以存储下来。

找到靓号地址，从其线上任何一笔交易中的签名，即可恢复出靓号公钥，不妨设为找到靓号地址，从其线上任何一笔交易中的签名，即可恢复出靓号公钥，不妨设为 $VanityPub_0$。具体算法参见椭圆曲线数字签名算法。

我们定义候选公钥集合关于靓号公钥 $VanityPub_0$的一个平移集：

$ShiftSet_{VanityPub_0} = \{VanityPub_0 - \Delta_{r,fid} G \mid r \in [0, r_{max}), fid \in [0, fid_{max}) \}$

为了更好的说明，不妨假设有一个3 轮、轮内迭代次数也是 3 的例子，以下是基于种子公钥 $f(2)$ 的一个候选公钥集合：

候选公钥集合中的某个公钥将被筛选出来为靓号公钥，不妨设被选出来的靓号公钥为：$VanityPub_0 = f(2) + \Delta_{1,2} G$

下面将演示，如何通过求平移集合 $ShiftSet_{VanityPub_0}$来求出种子公钥 $f(2)$：

$\{ f(2)+\Delta_{-1,-1}G, f(2)+\Delta_{0,-1}G, f(2)+\Delta_{1,-1}G, f(2)+\Delta_{-1,0} G,$$f(2), f(2)+\Delta_{1,0}G, f(2)+\Delta_{-1,1}G , f(2)+\Delta_{0,1}G, f(2)+\Delta_{1,1}G \}$

其包含靓号公钥对应的种子公钥 $f(2)$，细心的人可以发现，靓号私钥相对与种子私钥的偏移为 $-\Delta_{1,2}$。

为什么求平移集合？因为平移集合中包括种子公钥。比如上图中的 $f(2)$ 就是种子公钥。

将平移集合的计算的迭代搜索范围记为 $r_{max}，fid_{max}$，用户靓号公钥当初的迭代坐标为 $r，fid$， 则有以下命题成立：

命题：如果 $r_{max} > r$， $fid_{max} > fid$，则基于靓号公钥所计算的平移集合与种子公钥集合一定存在交集。

计算交集 $InterSect = Set_{SeedPub} \cap ShiftSet_{VanityPub}$。

交集中至少存在一个元素，它是一个种子公钥，不妨记为 $SeedPub_0$，从 Step 1 预存的数据中能获取对应的私钥。由于 $SeedPub_0 \in ShiftSet_{VanityPub}$，因此 $SeedPub_0$ 相对于 $VanityPub$ 的私钥偏移 $\Delta$ 也在 Step 3 中记录下来的，通过查询可得。

以 Step 3 中为例，如上图所示， 交集为 $InterSect = { f(0)}$，查询可知种子公钥相对于靓号公钥的私钥偏移 $\Delta = -\Delta_{1,2}$。

至此，可轻易计算出来靓号公钥 $VanityPub$ 的私钥：

$VanityPriv = SeedPriv - \Delta$

$VanityPriv = Priv_{f(0)} - ( - \Delta_{1,2} ) = Priv_{f(0)} + \Delta_{1,2}$

预生成种子公钥集合 $Set_{SeedPub}$ 并存储起来，注意此时所有种子公钥对应的私钥也同样存储了。

记 $VanityPub_0$ 为 Step 2 得到的公钥，指定 $r_{max} = 4，fid_{max} = 0x10000$。

此时平移集合元素个数为：$r_{max} * fid_{max} = 262144$，这是一个很小的集合，也意味这很小的搜索空间。

$ShiftSet_{VanityPub_0} = \{VanityPub_0 - \Delta_{r,fid} G \}$

（其中 $r \in [0, 4), fid \in [0, 0x10000)$）

关于平移集合的 $r_{max}$，$fid_{max}$ 参数的选择，可以根据"靓号地址”的难度来设计平移集的大小。

计算 $Set_{SeedPub}$ 与 $ShiftSet_{VanityPub_0}$ 的交集，得到集合 $\{SeedPub0\}$。

集合中的种子公钥 $SeedPub0$ 为：

通过查询预存储信息，可以获取对应的种子私钥 $SeedPriv$为：

由于 $SeedPub0 \in ShiftSet_{VanityPub0}$，因此 $SeedPub0$ 相对于 $VanityPub$ 的私钥偏移也在 Step 3 中记录下来的，查询可得：

$\Delta = -131222811778258561367987177892156266428619740566520641492090882$

为分析计算规模，我们可以定义候选公钥集合计算的轮数上限为 $r_{max}$，轮内序数上限为 $fid_{max}$。

Step 4 中，需要解决两个集合求交的问题，一个集合大小是 $2^{32}$ ，另一个集合大小为 $r_{max}*fid_{max}$。集合求交是一个成熟的问题，有一些成熟的解决方案，此处不必赘言。

着重说一下 Step 3，Step 3 是需要计算候选集合的一个平移，理想状态下其规模跟候选公钥集合一样，因此计算次数为 $r_{max}*fid_{max}$。这是个什么概念呢？它意味着，如果不考虑集合求交的耗时，私钥破解耗时跟靓号地址生成耗时大致是一样的。

通过实验观察发现：大部分时候，对于 Profanity 中指定模式下的前 2～3 个靓号地址，轮序号小于 $2^4$，轮内序号小于 $2^{22}$。这表明着大部分的平移集合的基数（元素总数）$|ShiftSet| <= r_{max} * fid_{max} = 2^{4} * 2^{22} = 2^{26} \approx 6kw$，意味着，大部分时候，你最多只需要进行 6 千万次穷举就能完成破解。

答案是否定的。生成备选 Public Key 使用单向函数，确实能防止本文中提出的攻击方法，但是它不能阻止生日攻击。因为种子长度为 32bit 那么碰撞概率 50% 时，$n(0,5, H) = 1.1774 * \sqrt(H) = 1.1774 * \sqrt(2^{32}) = 77162$。这说明如果选择同样的靓号策略，只要 Profanity 的用户数接近 8 万，就有 50% 的概率生成重复私钥。