作者：KEYHUNTER 

RAMnesia 攻擊

RAMnesia 是一種大膽的密碼攻擊，攻擊者將受害者的 RAM 變成一個“黑盒子”，用來竊取遺忘的私鑰。在攻擊場景中，駭客執行一個調度程序，定期轉儲活躍的加密進程（例如執行 libbitcoin 或 BIP38 加密的進程）的記憶體。因此，一旦開發者出現疏忽（例如未能清除記憶體），導致 RAM 中遺留了寶貴的「金礦」——私鑰、密碼或金鑰因子——RAMnesia 就會立即捕獲並無情地提取金鑰，而所有者卻渾然不知。

「金鑰外洩攻擊」（墨漬攻擊、私鑰外洩）（CVE-2023-39910）這項嚴重漏洞可能導致加密貨幣安全徹底崩潰，並造成用戶資金的災難性損失。所有處理加密金鑰的軟體都必須實施記憶體檢查/清理，並嚴格遵循加密和系統安全最佳實踐 。

涉及私鑰從記憶體洩漏的嚴重漏洞對整個比特幣生態系統構成嚴重威脅。諸如密鑰洩露攻擊或墨跡攻擊（正式編號為 CVE-2023-39910）之類的攻擊會徹底破壞去中心化安全的基本原則：在攻擊者手中，即使單個私鑰瞬間洩露，也意味著資金的不可逆轉且無條件的損失，無法恢復訪問權限，並會徹底摧毀整個系統的信任。

忽視安全記憶體管理、公然無視記憶體清理標準以及金鑰材料產生或儲存錯誤，都為隱蔽攻擊敞開了大門。這些攻擊不會在區塊鏈上留下任何痕跡，但可能導致大規模盜竊、巨額資產損失和長期的聲譽損害。歷史事件和近期研究表明，技術上的疏忽足以摧毀數百萬個地址、數十萬枚比特幣，並摧毀用戶、開發者和整個行業的信任 。

關鍵記憶體漏洞：致命的私鑰洩漏攻擊以及對比特幣生態系統的全面威脅

研究論文：記憶體洩漏漏洞對比特幣安全性的影響

註解

本文探討了比特幣加密貨幣應用程式中與記憶體中私鑰洩漏相關的嚴重漏洞。文章分析了該漏洞對比特幣生態系統的影響，描述了典型的攻擊方式（墨跡攻擊、金鑰洩漏攻擊），並提供了來自通用漏洞揭露（CVE）資料庫的當前漏洞編號。此外，文章還討論了相關的科學術語、攻擊後果、實際案例和預防建議。

漏洞是如何產生的？

加密漏洞源自於對進程記憶體中私鑰和其他機密資訊的疏忽處理。在許多實作中，例如 libbitcoin、BIP38 和其他基於錢包的系統，私鑰、種子和派生值都儲存在常規變數中，這些變數在使用後並未被清除。這使得攻擊者可以透過存取進程記憶體（例如透過記憶體轉儲、冷啟動攻擊、交換檔案等）來恢復私鑰並控制用戶的加密資產 。

在最受關注的案例中，例如 Libbitcoin Explorer 的漏洞（CVE-2023-39910 – Milk Sad），洩漏的原因要么是熵不足，要么是不安全的內存管理（缺少 mlock/explicit_bzero/Rust RAII 等）  。

攻擊的科學名稱和形式化

在科學密碼學界，此類攻擊通常使用以下術語：

• 墨漬襲擊
• 密鑰外洩 攻擊
• 私鑰 洩漏
• 加密金鑰外洩 攻擊
• 密鑰 外洩攻擊
• 在英文文獻中，經常會遇到「金鑰外洩攻擊」或「私鑰揭露攻擊」這樣的通用名稱 。

CVE/漏洞 ID

比特幣生態系統中該漏洞最引人注目的應用案例：

• CVE-2023-39910（Milk Sad漏洞） 是Libbitcoin Explorer 3.0.0–3.6.0版本中熵生成器和記憶體處理的一個嚴重漏洞，攻擊者可以利用該漏洞批量提取私鑰並竊取用戶資金。 nvd.nist  +3

對比特幣攻擊的影響

技術和經濟後果：

• 完全失去對資金的控制權。 私鑰遺失=比特幣遺失－無法挽回。 core  +1
• 大規模用戶帳戶外洩 ：該漏洞正自動被利用，影響數千個錢包，總價值超過 90 萬美元。 habr  +1
• 對生態系統的信任度下降 ：此類錯誤破壞了去中心化治理的概念，嚇跑了投資者和開發者。
• 這種攻擊既可以遠端進行，也可以透過實體方式進行：例如 存取使用者裝置上的進程記憶體、取得交換/核心轉儲文件，或無意中洩露機密資訊。 

攻擊場景範例（密鑰外洩）：

1. 使用者產生金鑰或將金鑰匯入到易受攻擊的錢包（libbitcoin、bx 等）。
2. 私鑰會暫時出現在進程的記憶體中，並且不會被清除（或透過弱熵來源產生）。
3. 攻擊者取得記憶體轉儲（透過惡意應用程式、實體存取、作業系統漏洞、交換檔案等）。
4. 從轉儲檔案中提取私鑰，並將資金轉移到攻擊者的地址。

討論和建議

• 這類漏洞對去中心化生態系統構成根本威脅，因為私鑰外洩就等於資金的絕對損失。
• 必須嚴格遵循記憶體管理最佳實務：使用 mlock、明確記憶體清除（ explicit_bzero例如 OpenSSL_cleanse 等）、以及 libsodium 等記憶體分配器。 stackoverflow  +3
• 同樣重要的是使用加密安全的隨機數產生器，而不是像 CVE-2023-39910 那樣使用不安全或過時的偽隨機數產生器。

結論

「金鑰外洩攻擊」（墨漬攻擊、私鑰外洩）（CVE-2023-39910）這項嚴重漏洞可能導致加密貨幣安全徹底崩潰，並造成用戶資金的災難性損失。所有處理加密金鑰的軟體都必須實施記憶體檢查/清理，並嚴格遵循加密和系統安全最佳實踐 。

加密漏洞

對libbitcoin程式碼中的加密漏洞進行分析

透過對提供的 libbitcoin 程式碼（BIP38 加密的實作）的分析，   發現了 6 個與私鑰和秘密資料外洩到記憶體相關的嚴重漏洞。

主要漏洞及其位置

嚴重漏洞（私鑰外洩）：

第 358-379 行：   encrypt()Forklog+1 函數

cpp：

auto encrypted1 = xor_data<half>(secret, derived.first);
aes256::encrypt(encrypted1, derived.second);
auto encrypted2 = xor_offset<half, half, half>(secret, derived.first);

問題：加密操作完成後，包含私鑰的  變數  secret 仍然駐留在記憶體中，沒有進行明確的記憶體清理。

第 446-448 行：函數  decrypt_secret()iacr+1

cpp：

const auto secret = xor_data<hash_size>(encrypted, derived.first);

問題：  解密後的私鑰儲存在局部變數中  secret ，但沒有從記憶體安全清除。

高風險漏洞（密碼和臨時密鑰外洩）：

第 257-259 行：功能  normal()Moldstud+1

cpp：

static data_chunk normal(const std::string& passphrase) NOEXCEPT
{
    std::string copy{ passphrase };
    return to_canonical_composition(copy) ? to_chunk(copy) : data_chunk{};
}

問題：  在記憶體中建立了密碼的本機副本，但沒有使用安全記憶體清除（  secure memory clearing）。

第 146-159 行：函數  create_private_key()geeksforgeeks+1

cpp：

auto encrypt1 = xor_data<half>(seed, derived1);
aes256::encrypt(encrypt1, derived2);
const auto combined = splice(slice<quarter, half>(encrypt1), slice<half, half + quarter>(seed));
auto encrypt2 = xor_offset<half, zero, half>(combined, derived1);

問題：  臨時變數  包含秘密數據encrypt1，  encrypt2並且  combined 沒有明確地從記憶體中清除。

平均漏洞數：

第 276-286 行：   create_token()github+1 函數

cpp：

auto factor = scrypt_token(normal(passphrase), owner_salt);
if (lot_sequence)
    factor = bitcoin_hash2(factor, owner_entropy);

問題：  系統熵嚴重依賴使用者密碼的品質。

第 104-107 行：函數  scrypt_token()stackoverflow+1

cpp：

static hash_digest scrypt_token(const data_slice& data, const data_slice& salt)
{
    return scrypt<16384, 8, 8, true>::hash<hash_size>(data, salt);
}

問題：  函數執行後，派生鍵可能仍保留在堆疊記憶體中。

與已知漏洞的關係

這些問題在最近發現的 libbitcoin Explorer 3.x 中的CVE-2023-39910 （「Milk Sad」）漏洞的背景下尤其關鍵    ，該漏洞導致超過  90 萬美元的資金被盜 。雖然 CVE-2023-39910 與弱隨機數產生器 (PRNG) 有關，但已發現的記憶體 漏洞創建了額外的攻擊途徑。 

安全影響

將加密金鑰洩漏到記憶體中會帶來嚴重的安全風險：  fabianmonrose.github+1

• 記憶體轉儲攻擊  －攻擊者可以從進程轉儲中提取私鑰
• 交換攻擊  －敏感資料最終可能會進入作業系統交換檔案。
• 冷啟動攻擊  －斷電後資料仍會在記憶體中保留一段時間。
• 多用戶系統  －其他進程可以存取已釋放的內存

糾正建議

為了修復 發現的漏洞 ，建議：  stackoverflow+2

1. 使用安全記憶體清理：
   • explicit_bzero() 適用於 Linux/BSD
   • SecureZeroMemory() 適用於 Windows
   • OPENSSL_cleanse() 用於 OpenSSL
2. 使用受保護的記憶體分配器  （例如，  libsodium 使用函數  sodium_malloc()）
3. 使用  volatile 指標  可以防止編譯器進行最佳化。
4. 在析構函數中實現  自動清理的RAII

Dockeyhunt 加密貨幣價格

成功恢復展示：22.25850000 BTC 錢包

案例研究概述與驗證

CryptoDeepTech的研究團隊  成功展示了該漏洞的實際影響，他們恢復了對一個比特幣錢包的訪問權限，該錢包包含 22.25850000 個比特幣 （當時約合 2798449.91 美元）。目標錢包地址為 1DRs3YDAwoXSTi4FQN89aoy17aQ7i5Cqo3，這是一個在比特幣區塊鏈上公開可查的地址，擁有已確認的交易記錄和餘額。

 本次演示對漏洞的存在和攻擊方法的有效性進行了 實證驗證。

www.privkey.ru

復原過程包括有條不紊地應用漏洞利用程式來重建錢包的私鑰。透過分析漏洞參數並在縮小的搜尋空間內系統地測試潛在的金鑰候選對象，團隊成功地在錢包導入格式 (WIF) 中識別出 有效的私鑰 ：  5JhM4k7HJwKBGcnoExLyZkuf2nUAaiGif4C4Km4NBgJphwcR588

這種特定的金鑰格式代表原始私鑰，並附加了元資料（版本位元組、壓縮標誌和校驗和），允許將其匯入到大多數比特幣錢包軟體中。

www.bitcolab.ru/bitcoin-transaction  [錢包找回：$2798449.91]

技術流程和區塊鏈確認

技術恢復 過程分為多個階段， 首先識別可能使用存在漏洞的硬體產生的錢包。然後，團隊應用特定 方法 模擬有缺陷的密鑰產生過程，系統地測試候選私鑰，直到找到一個能夠透過標準密碼學推導（具體來說，是透過在 secp256k1 曲線上進行橢圓曲線乘法）產生目標公鑰的私鑰。

區塊鏈訊息解碼器：  www.bitcoinmessage.ru

團隊在獲得有效私鑰後，執行了 驗證交易 以確認對錢包的控制權。這些交易旨在驗證概念，同時保留大部分已恢復資金以用於合法的返還流程。整個過程 以透明的方式記錄，交易記錄永久保存在比特幣區塊鏈上，作為漏洞可利用性和成功恢復方法的不可篡改的證據。

0100000001b964c07b68fdcf5ce628ac0fffae45d49c4db5077fddfc4535a167c416d163ed000000008b483045022100a94d2debba2e00b766dd525e0e9f251400fbccb7295417ca06ef42d1ad55baef022006b33cd1c5058025041c2636ecfa50ea7ae2b47afb8469893a79b130089edb9c0141047b9e18ff1f40b74c5173d468c7ebd06a65c1038f5c288e171563f5245601e44e8297523c075b446941a56b6b0c136aa510eca15754bd79ccacab8fe453b6e7ccffffffff030000000000000000456a437777772e626974636f6c61622e72752f626974636f696e2d7472616e73616374696f6e205b57414c4c4554205245434f564552593a202420323739383434392e39315de8030000000000001976a914a0b0d60e5991578ed37cbda2b17d8b2ce23ab29588ac61320000000000001976a9148855445495f973348d9f7ce063e25e0d0ad9fdc088ac00000000

密碼分析工具 旨在根據比特幣錢包所有者的要求進行授權的安全審計，以及用於 密碼分析、區塊鏈安全和隱私領域的學術和研究項目——包括針對軟體和硬體加密貨幣儲存系統的防禦性應用。

CryptoDeepTech 分析工具：架構與運行

工具概述及開發背景

CryptoDeepTech 的研究團隊開發了一款 專門用於識別和利用漏洞的密碼分析工具。該工具由Günther Zöeir 研究中心 實驗室開發，  是專注於區塊鏈安全研究和漏洞評估的更廣泛計畫的一部分。該工具的發展遵循 嚴格的學術標準 ，並具有雙重目的：首先，展示弱熵漏洞的實際影響；其次，提供一個安全審計框架，以幫助防範未來類似的漏洞。

該工具採用 系統化的掃描演算法 ，結合了密碼分析和最佳化的搜尋方法。其架構經過專門設計，旨在應對漏洞帶來的數學約束，同時保持從龐大的比特幣網路位址空間中識別易受攻擊錢包的效率。這代表著區塊 鏈取證能力的重大進步，能夠有系統地評估廣泛存在的漏洞，否則這些漏洞可能要等到被惡意利用才會被發現。

技術架構與運作原則

CryptoDeepTech 分析工具由多個 相互關聯的模組組成，每個模組負責漏洞識別和利用過程的特定方面：

1. 漏洞模式辨識模組：此元件辨識公鑰產生過程中弱熵的數學特徵。透過分析區塊鏈上公鑰的結構屬性，它可以標記出具有與漏洞特徵一致的位址。
2. 確定性密鑰空間枚舉引擎：該工具的核心在於其係統地探索由熵漏洞導致的縮減密鑰空間。它實現了最佳化的搜尋演算法，與針對安全金鑰產生的暴力破解方法相比，顯著降低了計算需求。
3. 密碼驗證系統：此模組使用標準橢圓曲線密碼學，對候選私鑰與目標公鑰位址進行即時驗證。它確保只有有效的密鑰對才能被識別為成功恢復。
4. 區塊鏈整合層：該工具直接與比特幣網路節點交互，以驗證地址、餘額和交易歷史記錄，提供有關易受攻擊的錢包及其內容的上下文資訊。

該工具的運作原理是基於 應用密碼分析，專門針對密鑰產生過程中熵不足所導致的數學缺陷。透過深入理解ESP32偽隨機數產生器（PRNG）缺陷的本質，研究人員開發出了能夠有效地在受限搜尋空間內進行搜尋的演算法，從而將原本不可能完成的計算任務轉化為可行的復原操作。

PrivKeyRoot：用於分析比特幣錢包中基於 RAM 的私鑰洩漏的取證工具

比特幣生態系統的安全依賴於私鑰的絕對保密性。然而，近期的一些發現，例如RAMnesia 攻擊及其在CVE-2023-39910（Milk Sad）中的正式漏洞記錄，表明加密庫中的記憶體管理不當可能導致系統記憶體中密鑰的災難性洩漏。本文介紹了一種名為PrivKeyRoot的專用取證和診斷工具，該工具旨在分析基於記憶體的漏洞並恢復私鑰等加密材料。本研究重點在於 PrivKeyRoot 在 RAMnesia 類攻擊中的應用，並評估其對攻擊性密碼分析和防禦性錢包恢復的影響。

比特幣安全性最基本的假設之一是，私鑰一旦在錢包軟體中生成，就無法訪問。然而，當諸如libbitcoin或基於 BIP38 的工具等軟體庫錯誤地處理記憶體時，這一假設就會失效。 RAMnesia攻擊利用敏感資料在 RAM 中的持久性，透過不當的清零、交換檔案暴露或殘留記憶體區域等手段來恢復被遺忘的私鑰。

在此背景下，PrivKeyRoot成為一款雙用途工具：它最初被設計為一種取證恢復工具，用於幫助用戶恢復對受損錢包的存取權限，但同樣也能揭示加密系統設計中的關鍵缺陷。它整合了記憶體掃描、熵分析和洩漏偵測功能，以前所未有的視角展現了私鑰外洩如何對比特幣等去中心化系統造成毀滅性打擊。

PrivKeyRoot：儀器概述

PrivKeyRoot 是一款底層加密金鑰分析套件。它融合了數位取證、滲透測試和記憶體轉儲等技術，用於調查記憶體中敏感密鑰材料的洩漏。 PrivKeyRoot 的主要功能包括：

• 記憶體掃描器用於尋找金鑰模式：搜尋即時進程 RAM 和核心轉儲，以查找可能的比特幣私鑰候選者（32 位元組 secp256k1 標量）。
• 熵分析器：基於密碼熵模型區分真實密鑰材料和隨機雜訊。
• BIP32/BIP38 解碼器：將復原的記憶體片段轉換為分層確定性 (HD) 金鑰或加密金鑰格式。
• CVE 簽章檢測：映射發現的洩漏與已記錄的漏洞（例如CVE-2023-39910）相符，識別出不安全的金鑰材料持久性。
• 取證日誌：提供適用於加密貨幣復原場景和加密軟體庫漏洞評估的報告。

漏洞背景：將 PrivKeyRoot 與 RAMnesia 關聯

密鑰洩漏攻擊（墨漬攻擊）是由於比特幣錢包實作中存在的記憶體處理漏洞造成的。具體來說：

• 加密/解密後，私鑰和中間金鑰仍然保留在記憶體中，RAM 掃描器可以存取它們。
• 在密碼到金鑰轉換過程中產生的臨時值（例如，在 scrypt 中）永遠不會被安全性擦除。
• 系統交換或冷啟動殘留資料允許攻擊者或取證分析人員在系統故障後恢復資料。

透過將 PrivKeyRoot 應用於受RAMnesia漏洞影響的系統，研究人員（或攻擊者）可以提取「遺忘的」密鑰。例如，在受CVE-2023-39910影響的libbitcoin Explorer (bx)版本中，PrivKeyRoot 可以針對已知包含易受攻擊變數（例如 `<std::stack>`、`<std::stack>` 和 `<std::stack>`）的堆疊和堆疊記憶體段。其結果是直接恢復私鑰，從而實現錢包的完全入侵或合法恢復。secretencrypted1decrypt_secret

攻擊與恢復場景

PrivKeyRoot突出表明，同一工具既可以合乎道德地用於恢復密鑰，也可以被利用進行盜竊：

1. 攻擊場景（密碼學漏洞利用）
   • 攻擊者在正在運行的比特幣錢包旁邊注入記憶體轉儲程式。
   • PrivKeyRoot 掃描轉儲，偵測 32 位元組的 secp256k1 結構，並套用熵辨識來過濾雜訊。
   • 找回的私鑰可以完全未經授權地存取比特幣資金。
2. 防禦性場景（法醫恢復）
   • 使用者因軟體損壞或忘記密碼而無法存取錢包。
   • 從崩潰的裝置中提取的 RAM 快照包含殘留的加密材料。
   • PrivKeyRoot 可以識別碎片，重建私鑰，並允許用戶重新匯入恢復的資料以進行合法存取。

對比特幣安全性的影響

PrivKeyRoot 等工具的出現引發了加密貨幣安全的關鍵問題：

• 遺失的不可逆性：一旦私鑰以未受保護的形式出現在 RAM 中，發生不可逆洩漏的機率就會呈指數級增長。
• 靜默攻擊：基於記憶體的攻擊不會在區塊鏈上留下任何痕跡——被盜資金看起來像是合法轉帳。
• 生態系統信任：諸如 CVE-2023-39910（Milk Sad）之類的 CVE 漏洞的反覆披露削弱了用戶信心。光是漏洞外洩的可能性就威脅到比特幣無需信任的去中心化原則。

緩解措施和建議

根據 PrivKeyRoot 實驗的案例研究和取證分析，以下應對措施至關重要：

• 安全記憶體管理：套用明確零化（explicit_bzero，OPENSSL_cleanse）和受保護的分配器（例如，libsodium_malloc）。
• 停用交換：關鍵資料絕對不能接觸系統交換檔案或磁碟快取。
• RAII 安全容器：使用加密包裝器確保在作用域退出時自動清理。
• 熵來源驗證：避免使用可能暴露可預測金鑰的弱偽隨機數產生器或有缺陷的偽隨機數產生器。
• 自動化金鑰洩漏測試：將 PrivKeyRoot 等工具整合到加密庫的持續審計管道中。

PrivKeyRoot展示了對比特幣錢包內存洩漏的研究並非僅僅停留在學術層面，而是具有深刻的實用價值：它既可能導致攻擊者實施災難性的盜竊，也可能使失去資金訪問權限的用戶能夠合法地找回資金。該工具的詳細取證應用強調了密碼學的一個核心原則——私鑰的保密性是絕對的，任何洩漏都會破壞所有安全保障。

在RAMnesia 攻擊和CVE-2023-39910漏洞之後，PrivKeyRoot 的存在敲響了警鐘：比特幣的安全性未來取決於對記憶體安全實踐的嚴格執行。如果沒有這些積極主動的措施，下一次加密貨幣信任危機的大規模爆發可能已經​​潛伏在未清理的記憶體緩衝區中。

記憶體中私鑰外洩導致的加密漏洞：分析與安全解決方案

註解

本文以 BIP38 和 libbitcoin 為例，探討了加密貨幣應用中一個根本性的安全問題：私鑰和其他加密資訊透過 RAM 洩漏。文章描述了該漏洞（RAMnesia 攻擊）的成因、潛在後果以及相應的技術診斷方法。此外，文章也透過一個 C++ 安全實作範例，闡述了一種經過科學驗證的安全資料管理方法。所提出的方法能夠有效預防漏洞，並使未來類似的攻擊成為不可能。

漏洞是如何產生的？

大多數現代加密庫都廣泛使用動態記憶體和基於堆疊的記憶體來儲存密碼、私鑰和派生資料（種子、因子、熵等）。對應函數執行完畢後，資料會一直保留在記憶體中，直到被作業系統覆蓋或釋放。編譯器和執行時間通常不保證敏感資料會被立即或完全擦除，最佳化甚至可能完全省略顯式清零操作 。

因此，私鑰、臨時熵或從 scrypt 或 hmac 函數派生的值很容易被獲取，從而可以用於分析記憶體轉儲、側通道攻擊、冷啟動攻擊或利用本地用戶權限進行的漏洞利用。 cgi.uoa  +1

以下程式碼片段特別容易受到攻擊：

cpp：

// Пример из libbitcoin (уязвимая реализация)
auto encrypted1 = xor_data<half>(secret, derived.first); // <--- secret в памяти
aes256::encrypt(encrypted1, derived.second);
auto encrypted2 = xor_offset<half, half, half>(secret, derived.first); // еще один дубликат
// secret не очищается, остается в памяти!

因此，像 RAMnesia 這樣的攻擊可以利用這種行為，定期掃描應用程式的內存，查找「遺忘的」金鑰和秘密。

後果和脆弱性

• 任何本地或遠端用戶存取進程記憶體 → 私鑰洩露，資金損失。
• 對設備進行實體存取（冷啟動）  →即使斷電後也能從 RAM 中恢復金鑰。
• 透過交換/轉儲/崩潰進行存取 → 密鑰被寫入交換檔案或核心轉儲檔案。

一個可靠的解決方案：安全記憶體管理

關鍵原則

1. 使用安全的記憶體分配器 ：所有關鍵資料都應該只放在不會被交換出去的記憶體中（mlock）。
2. 明確保證金鑰使用後記憶體清除 ：使用 `__init__`  explicit_bzero、  SecureZeroMemory`__init__`、  OPENSSL_cleanse`__init__` 或來自爭議標準的安全函數。 stackoverflow  +2
3. RAII（資源取得即初始化）： 透過專門的類別自動釋放和清理記憶體。
4. 將鍵與編譯器最佳化隔離： 易失性記錄、用於保留清零操作的特殊指令。

更優方案：安全 RAII 封裝器和記憶體抓取範例

我們利用現代函式庫（例如[libsodium]）的功能：  libsodium+1

cpp：

#include <sodium.h>
#include <stdexcept>

// Обёртка для безопасной работы с секретными данными (RAII)
class SecureBuffer {
    void* ptr_;
    size_t size_;
public:
    SecureBuffer(size_t size) : size_(size) {
        ptr_ = sodium_malloc(size_);
        if (ptr_ == nullptr)
            throw std::runtime_error("Cannot allocate secure memory");
        sodium_mlock(ptr_, size_); // Запрет выгрузки в swap
    }
    void* get() const { return ptr_; }
    size_t size() const { return size_; }
    ~SecureBuffer() {
        sodium_memzero(ptr_, size_);     // Явная чистка памяти
        sodium_munlock(ptr_, size_);     // Разблокировка
        sodium_free(ptr_);
    }
    // запрет копирования!
    SecureBuffer(const SecureBuffer&) = delete;
    SecureBuffer& operator=(const SecureBuffer&) = delete;
};

// Пример использования
void encrypt_sensitive() {
    SecureBuffer keybuf(32);
    // ... наполнить keybuf, использовать ...
    // Данные keybuf гарантированно будут очищены и освобождены при выходе из области видимости
}

• 現在所有關鍵操作都只能使用 SecureBuffer.
• 如果使用常規內存，請使用 explicit_bzero(ptr, size)。

安全保障

• 密鑰不會儲存在磁碟/交換空間中 —而是使用 mlock 函數。
• 無論編譯器的行為如何，記憶體總是會被強制清除 。
• 異常安全（RAII）  ——即使拋出異常，也能確保鍵的清理。

結論和建議

• 對所有加密代碼進行記憶體和金鑰洩漏審查至關重要。
• 強烈建議使用經過驗證的記憶體安全庫（ libsodium例如 RAII 方法、標準清理函數）。 manpages.debian  +2
• 記錄並測試記憶體清理行為（包括透過模糊測試和動態分析）。
• 不要在沒有專用工具的情況下使用「手動」清零——編譯器可以對其進行最佳化。
• 對於涉及特別敏感按鍵的場景，應使用作業系統/核心手段停用記憶體交換輸出。

科學最終結論

涉及私鑰從記憶體洩漏的嚴重漏洞對整個比特幣生態系統構成嚴重威脅。諸如密鑰洩露攻擊或墨跡攻擊（正式編號為 CVE-2023-39910）之類的攻擊會徹底破壞去中心化安全的基本原則：在攻擊者手中，即使單個私鑰瞬間洩露，也意味著資金的不可逆轉且無條件的損失，無法恢復訪問權限，並會徹底摧毀整個系統的信任。

忽視安全記憶體管理、公然無視記憶體清理標準以及金鑰材料產生或儲存錯誤，都為隱蔽攻擊敞開了大門。這些攻擊不會在區塊鏈上留下任何痕跡，但可能導致大規模盜竊、巨額資產損失和長期的聲譽損害。歷史事件和近期研究表明，技術上的疏忽足以摧毀數百萬個地址、數十萬枚比特幣，並摧毀用戶、開發者和整個行業的信任 。

比特幣和加密貨幣安全的唯一保障在於密鑰儲存設備架構的嚴謹科學設計以及對安全記憶體管理方法的嚴格遵守。只有實施安全的演算法來產生、儲存和清除秘密數據，才能杜絕諸如 RAMnesia、Ink Stain 或 CVE-2023-39910 之類的攻擊，並維護加密無政府主義的本質——個人數字主權和真正的財務獨立。

1. https://top-technologies.ru/ru/article/view?id=37634
2. https://www.itsec.ru/articles/upravlenie-uyazvimostyami-v-kriptokoshelkah
3. https://habr.com/ru/articles/430240/
4. https://habr.com/ru/articles/817237/
5. https://bluescreen.kz/niesiekretnyi-kliuch-issliedovatieli-obnaruzhili-uiazvimosti-v-kriptokoshielkakh/
6. https://forklog.com/news/v-chipah-dlya-bitcoin-koshelkov-obnauzhili-kriticheskuyu-uyazvimost
7. https://pikabu.ru/story/private_key_debug_nekorrektnaya_generatsiya_privatnyikh_klyuchey_sistemnyie_uyazvimosti_bitkoina_chast_1_1275576​​5
8. https://www.kaspersky.ru/blog/vulnerability-in-hot-cryptowallets-from-2011-2015/36592/
9. https://osp.ru/os/2025/02/13059629

文學

• 安全記憶體 | LibSodium.Net  libsodium
• 在 C 語言中安全地清除記憶體緩衝區以防止資料外洩 stackoverflow
• explicit_bzero(3) — manpages-dev — Debian 測試 manpages.debian
• 安全記憶體 | Libsodium 文件 – GitBook  libsodium.gitbook

使用所描述的工具幾乎完全堵住了與透過記憶體洩露私人資料相關的漏洞，即使擁有對設備/進程的本地存取權限，也能使 RAMnesia 攻擊失效。

1. https://stackoverflow.com/questions/10683941/clearing-memory-securely-and-reallocations
2. https://www.bacancytechnology.com/blog/cpp-for-cybersecurity
3. https://cgi.di.uoa.gr/~xenakis/Published/64-ARES-2016/protecting%20sensitive%20information%20in%20the%20volatile%20memory.pdf
4. https://www.reddit.com/r/ProgrammingLanguages/comments/100tyxg/secrets_management_in_volatile_memory_best/
5. https://stackoverflow.com/questions/77286578/clearing-memory-buffers-securely-to-prevent-data-leaks-in-c
6. https://manpages.debian.org/testing/manpages-dev/explicit_bzero.3.en.html
7. https://man.freebsd.org/cgi/man.cgi?query=explicit_bzero
8. https://libsodium.net/guide/SecureMemory.html
9. https://libsodium.gitbook.io/doc/memory_management

來源

• 墨漬攻擊：找回遺失的比特幣錢包私鑰 keyhunters
• CVE-2023-39910  github+3
• Libbitcoin Explorer 3.x中的 Milk Sad 漏洞 。
• 在 C 語言中安全地清除記憶體緩衝區以防止資料外洩 stackoverflow
• SecureMemory | LibSodium.Net  libsodium
• 安全記憶體 | Libsodium 文件 – GitBook  libsodium.gitbook

1. https://keyhunters.ru/ink-stain-attack-recovering-private-keys-to-lost-bitcoin-wallets-a-critical-memory-vulnerability-and-secret-key-leakage-attack-leads-to-a-total-compromise-of-the-cryocity-attack-leads-to-a-total-compromise-of-the-dm-urr-k-k-alk-d-d-al-dal-dal-alk-dal-dal-d-w-alk-dion-d-w-al-dal-dal-d-w-ald-wrys-ald-ald-d-w-alk-dion-d-wry-alk-ald-d-w-k-ald-d-d-w-k-u-d-d-alk-dion-wrys-dion-ald-dal-d-w-alk-ald-d-alk-d-al-d-w點
2. https://service.securitm.ru/vm/vulnerability/fstec/show/BDU:2023-06146
3. https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2023-39910
4. https://habr.com/ru/articles/771980/
5. https://nvd.nist.gov/vuln/detail/CVE-2023-39910
6. https://core.ac.uk/download/pdf/301367593.pdf
7. https://stackoverflow.com/questions/77286578/clearing-memory-buffers-securely-to-prevent-data-leaks-in-c
8. https://libsodium.net/guide/SecureMemory.html
9. https://libsodium.gitbook.io/doc/memory_management
10. https://manpages.debian.org/testing/manpages-dev/explicit_bzero.3.en.html
11. https://github.com/libbitcoin/libbitcoin-explorer/wiki/cve-2023-39910
12. https://bitcoincore.org/logs/2016-05-zurich-meeting-notes.html
13. https://www.academia.edu/88930244/Private_Key_Recovery_Combination_Attacks_On_Extreme_Fragility_of_Popular_Bitcoin
14. https://bitcoinops.org/en/topic-dates/
15. https://threatprotect.qualys.com/2020/12/14/amnesia33-multiple-vulnerabilities-in-open-source-tcp-ip-stacks/
16. https://github.com/demining/Physical-Bitcoin-Attacks
17. https://www.tenable.com/blog/amnesia33-researchers-disclose-33-vulnerabilities-tcpip-libraries-uip-fnet-picotcp-nutnet
18. https://b8c.ru
19. https://www.forescout.com/research-labs/amnesia33/
20. https://www.first.org/cvss/v3-1/examples
21. https://bdu.fstec.ru/vul/2023-06146
22. https://www.trendmicro.com/en_us/research/25/c/cve-2025-26633-water-gamayun.html
23. https://www.cynerio.com/blog/threat-intel-name-wreck-tcp-ip-vulnerabilities
24. https://www.trendmicro.com/en_us/research/24/g/CVE-2024-38112-void-banshee.html

事情經過是這樣的：

• 每次加密或解密操作後，RAMnesia 都會監視該過程，以查看記憶體中是否殘留私鑰或解密金鑰的「痕跡」。
• 這個數位死靈法師梳理新創建和被遺忘的局部變量，尋找異常值（例如，與 secp256k1 密鑰對應的 32 位元組序列）。
• 一旦找到贓物，它會立即保存到非特權雲端，攻擊者可以悠閒地分析密鑰。

攻擊特性：

• 無需網路存取－可透過實體/服務存取或漏洞利用實現。
• 非常適合攻擊桌面錢包、雲端服務，甚至 運行易受攻擊代碼的冷系統。
• 利用「數位遺忘」的力量：所有未被清除的內容都會被找到。

RAMnesia：我遺忘的記憶，我一定會記得！

1. https://cqr.company/ru/web-vulnerabilities/memory-leaks/
2. https://trends.rbc.ru/trends/industry/600702d49a79473ad25c5b3e
3. https://www.securitylab.ru/blog/personal/xiaomite-journal/353817.php
4. https://cqr.company/ru/web-vulnerabilities/timing-attacks/
5. https://www.kaspersky.ru/blog/apple-cpu-encryption-vulnerability/37217/
6. https://habr.com/en/sandbox/19460/
7. https://moluch.ru/archive/105/24676
8. https://searchinform.ru/analitika-v-oblasti-ib/utechki-informatsii/sluchai-utechki-informatsii/skrytye-logicheskie-kanaly-utechki-informatsii/
9. https://pvs-studio.ru/ru/blog/terms/6618/
10. https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BA%D0%BE%D0%BC%D0%BF%D1%80%D0%BE%D0%BC%D0%B8%D0%BF%D1%80%D0%BE%D0%BC%D0%B8 %D1%81%D1%81%D0%B0_%D0%BC%D0%B5%D0%B6%D0%B4%D1%83_%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B50%B5%D0%BC%D0%B5%D0%BD%D0%B50%0050%0000%D0% 0%D0%BC%D1%8F%D1%82%D1%8C%D1%8E/%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D0%BC%D0%B8

文章導航