FFF:安全生成以太坊ETH靓号钱包地址教程（GPU显卡加速无漏洞版）_XXX

近期区块链领域黑客攻击事件频发，其中有一个很让Cocoa感兴趣的就是Wintermute钱包因靓号地址的问题损失约1.6亿美元，具体说来话长，可以参见慢雾的这篇分析。

0.背景简介

关于什么是靓号地址这里简单解释一下，以太坊钱包的地址是一个由0x开头40个随机字符的16进制字符串，比如V神的钱包地址就是0xAb5801a7D398351b8bE11C439e05C5B3259aeC9B，很难记忆，也没有个性特色。

因此有人就别出心裁，通过暴力枚举的方式，试图找到好看的靓号地址，比如0x888888开头，或者为了节约合约部署的费用，使用0x00000开头的地址。

Profanity就是这样一个靓号地址生成工具。Profanity的特点就是使用了GPU，所以比其他工具更快地找到靓号地址。

Dogecoin因TikTok视频经历暴涨后 官方提示交易者注意安全:由于短视频平台TikTok上一个关于Dogecoin（狗狗币）挑战视频被疯狂传播，Dogecoin的价格在24小时内上涨50％之后，截至发稿时，它的价格为0.042美元，是自2018年10月以来的最高价。对此Dogecoin推特警告交易者不要进行投机活动。Dogecoin表示，“请你做出正确的选择，不要被别人的FOMO影响或操纵。注意安全。聪明一些。”（Cointelegraph）[2020/7/8]

总之，原项目因为存在漏洞，目前仓库已关闭，而且也不推荐使用，但发现漏洞的1inch帮人帮到底、送佛送上天，提供了船新版本的无漏洞Profanity2，继续满足大家的虚荣心。

但个人感觉1inch安全功夫了得，文档水平太烂，Cocoa贵为期末考试满分的密码学小王子，都看了5分钟才理解到底怎么用。废话少说，以下就是使用教程。

报告：DeFi相关的借贷应用面临安全问题以及可能的中心化风险:近日，链塔智库正式发布《2020年四?交易所安全报告》，四月发生了多起平台事故，影响最大的无疑是EOS生态的跑路。EOS生态以高额储息为诱饵，引诱用户入金，据相关统计，其涉案金额达30亿元。由此链塔智库对最近火热的数字货币借贷行业进行研究，据估计，借贷行业（排除）所管理的资产规模已超百亿。链塔智库发现数字货币借贷行业最大痛点在于资金池不够透明，而DeFi相关的借贷应用则面临着安全问题以及可能的中心化风险，同时不少小交易处于自身利为提供对应的宣传服务。链塔智库建议用户对于借贷保持谨慎，不要参与任何异常高利率的项目。[2020/5/22]

1.编译代码

考虑到私钥的安全性，这类项目建议从官方源码编译使用，不过Profanity2有个创新改进，下面会提。

声音 | PeckShield吴家志：克服安全事件当务之急是做风控布局:据IMEOS消息，本周，在 EOS Canada 的采访中，PeckShield 的联合创始人兼研发副总裁吴家志认为对区块链开发者而言最大的挑战在于区块链行业追求去中心化、透明化等一系列特性，故而潜在的安全风险和障碍较大，尤其是黑客攻击可能会伴随产品发展始终。由于区块链发展早期导致技术相对薄弱、币价火热引起注意和犯罪成本极低等原因，攻击者强于建设者，是目前每个开发者都会面临的行业大环境。他说：“若要克服，当务之急要做的就是做风控布局，从DApp开发之始就加强安全防护，在投入上把安全放在第一位，在此基础上再强化运营和推广。很显然，目前整个DApp业态过于重视运营推广却忽略了最基础的安全防御工作，这才导致了一连串的安全事件，不仅给涉及到的DApp开发者带来了当头一击，也猛挫了市场的信心。”[2019/3/7]

1inch这次提供的是Linux下编译的代码，在Windows下编译需要改一个地方，主要是把Dispatcher.cpp中的以下代码修改掉。

动态 | 慢雾安全团队推出 EOS 合约验证平台:据IMEOS报道，慢雾安全团队推出 EOS 合约验证平台，希望借此为区块链世界构建一个更加安全的生态环境。该功能包括：

1.用户可对已验证 EOS 合约账户的源代码进行查询；

2.项目方可自行上传源代码进行一致性校验。[2018/8/14]

#include<arpa/inet.h>改成#include<Winsock2.h>

另外还涉及到OpenCL的SDK以及编译环境搭建的问题，总之这里就假设你已经拿到了可执行程序。

2.本地生成密钥对

Profanity2的一大改进就是将原来直接生成私钥、再计算公钥的步骤，改成：

先生成密钥对然后把公钥A放到程序去跑，生成私钥B最后把私钥A和私钥B数学相加，得到私钥C这个私钥C对应的公钥C就是你想要的的靓号了。

其中的数学原理Cocoa还没深入研究，大致猜测就是先用一个安全可靠的工具生成密钥对，再通过程序暴力试出一个偏差量，使私钥加上这个偏差量可以导出靓号公钥。

这样的一个好处就是Profanity2可以交由第三方或者云端来运行，因为最终的私钥C，是由私钥A和私钥B相加得到的。

因此首先要生成私钥A和公钥A，官方提供了命令，在Linux下直接执行即可：

$opensslecparam-genkey-namesecp256k1-text-noout-outformDER|xxd-p-c1000|sed's/41534e31204f49443a20736563703235366b310a30740201010420/PrivateKey:/'|sed's/a00706052b8104000aa144034200/'$'nPublicKey:/'

上述命令执行完成后，屏幕上便会显示出PrivateKey和PublicKey，分别就是私钥A和公钥A，请注意私钥A一定要保管好。

3.使用公钥A去跑出私钥B

将上面步骤得到的PublicKey去掉开头的04也就是公钥A，放到Profanity2中去跑，命令如下：

profanity2--matchingc0c0aXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-z公钥A

稍等一会就会跑出来一个私钥B，过程和原版Profanity类似。

4.最终计算得到靓号地址对应的私钥C

拿到私钥B后，我们只要加上私钥A，即可得出最终靓号地址对应的私钥C了。

官方给了两个命令，分别是shell的和python的，因为我的kali好像没有bc，所以用了python的那个。其中私钥A记得前面加上0x。

(echo'ibase=16;obase=10'&&(echo'(PRIVATE_KEY_A+PRIVATE_KEY_B)%FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F'|tr''''))|bc

$python3

hex((PRIVATE_KEY_A+PRIVATE_KEY_B)%0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F)

最后就得到一个0x开头的私钥C，导入metamask等钱包就可以看到我们的靓号地址啦。

附赠章节：漏洞原理简介

以太坊的私钥是32字节的，但是原版Profanity在生成这个256位的私钥时，仅采用了4字节的随机数作为伪随机数生成器的seed。

这是小弟第一篇区块链安全文章，欢迎各位大佬批评指教。我的twitter：@featherye

标签：FFFXXXKEYPROfff币是局吗XXX价格onekeylite插件怎么安装kucoinpro跟库币是一回事吗

以太坊热门资讯