我知道链克圈很多人不懂技术,实际上玩币也不需要技术,但是PlayWKC 被盗完全是不懂技术的恶果。
首先我们讲一点:虚拟货币是数学加密算法的应用。而主要的加密算法就是 非对称加密。
什么叫非对称加密呢?简单的说就是一个特殊的箱子上了一把特殊的锁,而这把锁的开锁钥匙和上锁钥匙不是同一把,而且上锁需要开锁的时候只能拿另外一把开锁, 一把锁不能同时拿来上锁和开锁。
这样有什么优点呢?
比如说你今天要给张三一笔钱,这笔钱得通过银行支票转账,但你腿脚不便你得叫人帮你跑一趟,但同时帮你跑腿的那个人你不是很信任,那你会怎么办?因为你要防止中间人在跑腿的过程中偷偷对你支票进行改写,同时银行还得确认支票就是你写的。
如果用了非对称加密就简单了,这个时候你只需要使用非对称加密技术对支票加密,然后叫中间人传递到银行,但是银行没有开锁的钥匙啊?不,银行有的!你的名字就是这个开锁的钥匙。
这样中间人没办法改消息,因为他不知道原始的秘钥是啥,一旦他改了银行就用你的密码解不开了,银行也知道了你所需要传递的信息是啥。这样就确保了你信息的安全。
那这些跟今天的 PlayWKC 用户钱包被盗 有什么关系呢?
我们将以上的概念换一下:
*名字 =》 钱包地址 *
- 张三 =》0x123456....3333*
银行 =》 迅雷链克服务器
跑腿的人 =》 PlayWKC 转账工具
是不是这个场景是成立了。
那是不是说 PlayWKC 转账工具 就是安全的?理论上是的!
但是跑腿的人如果看到你上锁的过程,而且能知道你上锁的磨具是啥?你说他会不会动歪脑子呢?
我们来看一下 PlayWKC的 界面:
image
上来就要求你上传你的两把钥匙!!!
那你还搞毛!!!
果然拿一个测试钱包去测试,看到秘钥已经被上传!!!
image.png
代码我已经保存了。
现在代码还在跑:
https://www.paywkc.com/js/app.js
上传地址是: https://www.paywkc.com/echo/json
监守自盗很容易的!
那正规的方式是怎么做的?
举个例子:我们的链悠的链克邮差
image
签名是单独的,而且是可以离线的(就是你可以断网使用),你签名完成拿到签名信息,给到我们的链克邮差(跑腿)去投递。
image
这样不仅安全可靠,而且还从根本上杜绝了用户钱包被盗的风险。
网友评论