币圈震惊：FBI凭密钥控制黑客比特币账户

来源：秦朔朋友圈

作者：舒时

5月初，俄罗斯黑客组织“黑暗面”（DarkSide）入侵美国科洛尼尔管道运输公司（Colonial Pipeline）网络，并且成功索要赎金。不过近期事件出现大反转，美国司法部6月7日公告称，已收回了DarkSide今年从Colonial Pipeline勒索的大部分赎金。该公告详细说明了黑客如何通过在全球范围内启用的勒索软件来造成威胁，而美国又是如何截取了这一黑客组织的支付账户。

科洛尼尔是美东输油“大动脉”，支撑东海岸45%的燃油供应，还为军方供油。该公司被黑客袭击后被迫全面暂停运营，直接导致17个州及华盛顿特区一度进入紧急状态。

美联社的报道称，这是美国关键基础设施迄今遭遇的最严重的网络攻击。纽约时报则评价，袭击事件暴露出美国基础设施的脆弱，是令人不安的信号。

在这种背景下，FBI成功扭转局势，对于美国来说，是一个不小的成就，至少可以大大降低民众的恐慌。由于比特币价格已从4月的6.3万美元高位跌至近期3.3万美元，因此追回的比特币价值大约为230万美元，只有当初赎金总价值的近半。

但是从外媒披露的文件来看，“币圈”的恐慌可能却是刚刚开始。根据美国司法部副部长丽莎·摩纳哥（Lisa Monaco）介绍，FBI追回了63.7枚比特币（总赎金约为75枚，占比85%），而使用的手段是访问到了该黑客组织的一个比特币账户，然后用“密钥”将其中的比特币转走。

在这里，最有可能令币圈震惊的是FBI如何获得有关账户的密钥。根据FBI的一份书面证词，执法人员使用了区块链账簿的实时监控工具，追踪比特币的数笔交易，首先确认了DarkSide接收赎金的地址。随后，FBI获取了“密钥（private key）”，直接从DarkSide的账户里转走了63.7枚比特币——有个细节是，这个账户里其实有69.60422177个比特币，但FBI判断与黑客赎金案相关地址的只有63.7个，因此只转走了63.7个比特币。

这个证词公布后，有不少币圈投资人士脊背发冷。为什么呢？

这里必须先介绍一些比特币里“密钥”的概念。在比特网络中，每个比特币用户有至少一对密钥和公钥。如果使用密钥加密一段数据，则必须用配对的公钥解密（反之亦然），这种加密采用的是非对称加密。

其中，“密钥”是一个随机生成的256位二位制数，通过不可逆转的算法可以得到“公钥”（不可逆转指的是就算知道公钥，也无法通过逆运算得出密钥），公钥再经过两次哈希运算，得到一个20字节的公钥哈希，然后再经过另一种编码处理后，可以生成比特币钱包地址。

简单来说，密钥就好比是不可被公开的账户密码，公钥就如同可被公开的银行账户，而钱包地址则相当于银行卡卡号。一般情况下，比特币的交易发起方需要用密钥对交易（包括转账金额和转账地址等）签名，然后将签名后的加密交易信息和生成的公钥向全网广播。比特网上的各节点接收到交易信息后，可以用公钥解密，从而验证交易是否合法——在整个过程中，交易发起方的密钥是最为关键的信息。密钥可以说是持币人对比特币钱包地址的所有权及控制权的唯一凭证，拥有密钥，才能动用比特币钱包地址里的比特币，并进行交易。

FBI不仅能定位到黑客组织的比特币钱包地址，更可以用密钥进行转账，其背后的神操作令人惊讶。FBI获得密钥只有两种办法，一种是根据钱包地址进行逆运算反推出密钥匙；另一种是通过其他手段直接截取了密钥信息。

从上面的介绍可以知道，即便知道地址，也是基本上无法反推出密钥的；因此FBI大概率是利用其他软件中途截取了密钥信息。

据悉，成功执行此次追索任务的，是美国司法部为打击勒索软件而新成立的特别队伍——“勒索与数字敲诈工作组（RDETF）”。本次任务是这个新成立小组的首次行动。

联邦调查局副局长保罗·阿巴特说，通过访问一个持有约63.7个比特币的中央账户，联邦调查局能够控制DarkSide的收益，价值约230万美元。一份法庭文件则称，FBI能够访问该团伙的一个比特币钱包的“密钥”或密码。目前还不清楚密钥是如何泄露的。

美国官方对密钥的获取细节守口如瓶。法庭文件只是声称，扣押DarkSide收益的动作发生在北加州，做法符合美国法律。

联邦调查局旧金山办事处负责助理特工Elvis Chan6月7日在新闻电话会议上表示，这些资金是专门从使用DarkSide勒索软件入侵Colonial的黑客分包商那里没收的。但他拒绝透露FBI是如何获得钱包访问权限的具体细节。

Elvis表示，FBI并不需要等犯罪分子使用美国的加密货币服务才能达到目的，不过他同时认同，全球有大量的互联网基础设施都设在美国，而联邦调查局可以获得（这些基础设施的）搜查令。

“我不想公开我们的‘手艺’，以防未来还需要再次使用这种技能。”他说，“对于处理海外案件，技术方面不是问题。”

不过他透露说，跟踪勒索软件组织的微软威胁情报中心（Microsoft‘s Threat Intelligence Center）协助了调查。

FBI特工的话说明，该机构可以通过搜查美国基础设施的最底层信息，以及综合利用美国各种IT服务供应商的共享信息，来获取全球任何一个组织的最隐私信息。

黑客组织DarkSide的私钥能被FBI查出来并“盗”走63.7个比特币，那么其他持币人的私钥呢？细思极恐。