PASS:被“Passphrase”拯救的上億資產-ODAILY_SPH

撰文|Cobo金庫大掌柜

Trezor又雙叒叕被攻破了！1月31日，Kraken安全實驗室發推：TrezorModelT和TrezorOne存在軟件漏洞，通過物理攻擊，可在15分鐘內成功竊取私鑰，攻擊成本約幾百美金。

目前為止，安全芯片是硬件上防護此類旁路攻擊的唯一解法。設計有安全芯片的硬件錢包，私鑰的生成和存儲始終在安全芯片內，且無法被讀取。

想了解安全芯片如何防御各類旁路攻擊，可以查看掌柜的這篇文章《安全芯片到底在保護什么？》

BAYC 7202以70 ETH被“小甜甜”布蘭妮·斯皮爾斯購買:金色財經報道，據最新數據顯示，美國流行音樂明星“小甜甜”布蘭妮·斯皮爾斯以70 ETH的價格購買了“無聊猿”BAYC 7202，約合261,048.20美元。[2022/1/2 8:20:30]

如果你恰巧買了沒有安全芯片的硬件錢包，那么請切記，一定要啟用Passphrase功能。

BIP39中描述到：用戶可以決定使用密語來保護自己的助記詞。如果不使用密語，則使用空字符串“”代替。

我們通常把Passphrase當做是在原24個助記詞基礎上添加的第25個助記詞。

Curve分叉Swerve Finance被“交給社區”，團隊轉向新項目Boot Finance:2月3日，Swerve Finance多簽持有者以及其discord頻道版主chickenpie347發文指出，Swerve團隊將項目交給社區，并轉向新項目Boot Finance，專注于“一個全新的方向、新的代幣經濟以及新的路線圖”。目前網上并未有Boot Finance的相關信息，僅建立了一個discord群組。文中，chickenpie347將Swerve的失敗歸結于創始人John的消失，代幣經濟學本身的問題以及多簽持有者存在利益沖突等。據悉，Swerve是Curve的分叉項目，于2020年9月上線。Swerve對Curve的協議做出了相應改善，比如把所有供應量分配給LP，所有的token將在6年內分發完畢。Pantera Capital 風投合伙人Paul Veradittakit親自發文夸獎，也被Andre Cronje（AC）稱作設計十分明智；FTX創始人SBF以及知名DeFi投資人Arthur0x都是Swerve的多簽持有者。[2021/2/3 18:48:02]

使用硬件錢包完成創建助記詞錢包后，此時Passphrase默認為空字符串“”。設置不同的Passphrase，會進入不同的隱藏錢包，其對應的是完全不同的主私鑰，所以派生出來的地址也完全不同。因此設置Passphrase之后，可以理解成是生成了一個完全不同的新錢包。

聲音 | 慢霧創始人：因相關細節被“不負責任”地公布，門羅幣緊急發布修復版本:區塊鏈安全公司慢霧創始人余弦在微博稱，由于Ledger硬件錢包門羅幣的一起“丟幣”事故，Ledger警告稱不要和門羅幣客戶端v0.14一起使用Monero Ledger HW應用程序（或Ledger Nano S），可能會引起“丟幣”事故，門羅幣官方轉發了這條消息。而這之前門羅幣官方緊急發布了最新的修復版本v0.14.0.1，解決了在Coinbase 交易中RingCT輸出的錯誤處理問題，正是這個導致了“丟幣”事故。之所以是緊急修復是因為漏洞相關細節已經被“不負責任”地公布了。余弦表示，有相關猜測稱，這是一個匿名貨幣小幣種嘲諷地披露了門羅幣“假充值”漏洞細節，解釋說是因為門羅幣對漏洞研究者一直很傲慢。這導致門羅幣提前發布了補丁。接入門羅幣的相關交易所和錢包盡快修復了漏洞。[2019/3/7]

中國銀行法學研究會理事表示：褪去被“神化”的外衣，區塊鏈就是一種新型技術的應用:中國銀行法學研究會理事肖颯表示：“區塊鏈技術確實是個有大前景的好技術，但是從現下的實踐來看，這個好技術卻是被許多打著區塊鏈幌子的項目“壞了名聲”，甚至還有不少“假項目”直接損害了廣大社會群眾的合法權益。褪去被“神化”的外衣，區塊鏈就是一種新型技術的應用，由于其分布式記賬的方式被社會廣泛認同，在此基礎上，各種場景、創新紛繁復雜，我們相信一定有偉大的企業誕生，我們也相信一定有不法分子從中漁利。”[2018/3/1]

同一套助記詞搭配不同的Passphrase可以創建無數個不同的隱藏錢包。我們可以利用這一點，通過科學的資產配置方法來預防綁架攻擊。

比方說，掌柜有10個比特幣，1個放在默認錢包，剩下9個平均分散存儲在3個不同的隱藏錢包里。當我遇到類似“5美元扳手攻擊”這種簡單粗暴的綁架攻擊時，可以通過暴露默認錢包里的1個比特幣來保住大部分資產，即使對方揚言要再來一扳手，掌柜還可以用精湛的演技，表示還有“最后”3個比特幣放在隱藏錢包里。

大意如下：

Passphrase如何防御物理攻擊？

Trezor用戶開啟Passphrase功能后，每次進隱藏錢包都需要在原錢包基礎上輸入一遍Passphrase。所以，黑客拿到的Trezor里只有原始錢包。由于錢包不會保存Passphrase，而黑客又無從得知，因此黑客偷不走隱藏錢包里的數字資產。

但是，Trezor用戶可能會因此受到易用性的困擾，每次進入隱藏錢包，都要輸入一遍Passphrase，用起來非常麻煩。但這就是Trezor沒有使用安全芯片來防護旁路攻擊的妥協。

如何開啟Passphrase功能？

以Cobo金庫為例：

①進入“創建/導入金庫”頁面，連續點擊頁面右上角6次，進入設置Passphrase頁面

②設置密語，覆蓋原錢包，進入隱藏錢包

③如需返回原錢包，可重復步驟1-2，密語保持為空字符串“”即可

點擊查看詳細教程

進一步的，我們通常會開啟“哨兵功能”與Passphrase搭配使用。在主錢包遭到攻擊后，用戶可以通過“哨兵”及時轉移隱藏錢包下的資產，以防Passphrase被猜出的情況。更多關于“哨兵功能”的知識，掌柜會在下篇文章分享，感謝持續關注~

參考鏈接：

https://blog.kraken.com/

https://github.com/

Tags：SSPPASSPHRSPHssp幣是什么幣KompassPHR價格Atmosphere CCG

DOGE