最近,關于加密貨幣錢包的安全事件不斷出現在媒體上:
7月10日,硬件錢包Trezor被曝僅用5分鐘即可提取出密鑰種子,且漏洞無法通過補丁修復。7月12日,Dash官方推特發布警告,稱錢包MyDashWallet出現漏洞。據此前消息,有用戶反饋稱價值數百萬人民幣的Dash幣遭惡意竊取。
加密資產的安全一直是重中之重,然而很多用戶的安全意識薄弱,對錢包的相關知識知之甚少。
今天,白話區塊鏈文字采訪了比太錢包創始人比特派錢包開發者文浩和imToken中國區運營負責人Simon,以便能從更多角度幫助大家了解加密資產錢包這方面的問題。
01Trezor和Dash錢包有何安全問題?
比特派:首先,Trezor沒出安全問題,MyDashWallet是出了安全問題,這不是一回事。
先說下MyDashWallet,我們從2014年開始就建議用戶盡量不要使用網頁錢包,因為網頁錢包的安全天花板最低,瀏覽器插件、惡意代碼注入、釣魚鏈接等等對于網頁錢包都是致命的,當然還包括不安全的隨機數環境。MyDashWallet只不過是又給網頁錢包糟糕的安全記錄和丟幣歷史里增加新的一個案例而已。
加密錢包安全公司Fordefi完成1800 萬美元種子輪融資:金色財經報道,加密錢包安全公司Fordefi宣布獲得1800 萬美元的種子輪融資,并公開推出其用于在去中心化應用程序 (dApps) 上進行交易的機構MPC錢包。Lightspeed Venture Partners領投,Electric Capital、Alameda Research、Jump Crypto、Castle Island、Pantera Capital、Illuminate Financial、PayPal Alumni Fund、Nima Capital、Digital Currency Group、Defiance Capital 和 StarkWare等參投。[2022/11/8 12:33:46]
而Trezor的事情是另一回事,在過去一段時間Ledger一直用一個所謂的Ledger安全實驗室的名義來發布文章攻擊Trezor的安全性,但其實對于Ledger的攻擊,Trezor早在幾個月前就已經做過正面并且清楚的回復了,前幾天再次傳播的報道其實仍然是幾個月前的內容,并沒什么新鮮的。
對于硬件錢包來說,100%做到絕對防范物理攻擊是不可能的,大家只能努力增加物理攻擊的難度罷了。
前BitGo、Curv高管推出新的加密錢包安全公司Fordefi:11月5日消息,前BitGo、Curv高管Josh Schwartz推出新的加密錢包安全公司Fordefi,Fordefi提供了一個允許機構參與各種鏈的錢包平臺。
Fordefi表示,使用安全的多方計算 (MPC) 以一種更難以妥協的方式分配用戶的私鑰,它將允許用戶自動化他們與區塊鏈和智能合約的互動。Fordefi的25人團隊位于以色列和紐約,其中包括Michael Volfman和Dima Kogan。該公司聘請了斯坦福大學的加密貨幣教授Dan Boneh和前Curv首席執行官Itay Malinger作為顧問。(The Block)[2022/11/5 12:18:25]
硬件錢包的真正目的是要做到冷錢包,預防一個遠在天涯海角的黑客通過互聯網把你的幣轉走。如果您希望連物理攻擊都能防御,使用密碼賬戶就好了,這樣即便是攻擊者搶走了你的硬件錢包,沒有密碼也沒有用。
imToken:關于Trezor錢包,它使用的是單片機結構,類似一臺微型服務器,是通過程序來控制訪問私鑰的權限,所以存在被繞過和利用的可能。比如程序邏輯漏洞或者一定情況下的內存讀取等,核心來講還是要使用安全存儲級別更高的加密芯片來保障訪問及使用的安全。
華為公開“安全芯片及處理方法”專利,可提升區塊鏈錢包安全性:金色財經報道,華為申請的“一種安全芯片、安全處理方法及相關設備”發明專利日前被公開,申請號CN201980094248.X,申請公布號CN113574828A。該專利可提升區塊鏈錢包的安全性,安全元件包括處理器、第一存儲器和第二存儲器,所述處理器、所述第一存儲器和所述第二存儲器集成在半導體芯片內;其中所述處理器用于運行安全操作系統和基于所述安全操作系統的區塊鏈錢包程序,所述第一存儲器用于為所述處理器提供運行所述安全操作系統和所述區塊鏈錢包程序所需的內存空間,所述第二存儲器用于存儲所述錢包私鑰。所述處理器還用于在所述區塊鏈錢包程序的作用下,生成助記符,基于所述助記符獲得區塊鏈錢包的錢包私鑰,將所述錢包私鑰寫入到所述第二存儲器中。[2021/11/2 6:26:09]
對于MyDashWallet,這次的問題大致是使用的Script腳本被惡意篡改,導致用戶私鑰傳輸到了黑客的服務器上,而且受影響的時間長達兩個月,給用戶資產安全帶來很重大的影響。
關于在線的網頁錢包,有太多可能被攻擊的方面,比如類似之前MyEtherWallet因為DNS解析污染導致用戶訪問了黑客構造的惡意腳本,還有就是大量依賴的第三方程序出現漏洞,或者自身服務器被攻擊等都會出現安全問題。
動態 | 以太坊dApp瀏覽器采取措施提高錢包安全性:據CCN報道,為了保護隱私,以太坊dApp瀏覽器MetaMask將在11月2日停止向用戶瀏覽器注入Web3實例。更新對訪問用戶麥克風或攝像頭請求的審批模式,用戶可以拒絕非法網站的訪問。釣魚網站將無法在用戶不知情的情況下獲取其隱私信息。[2018/8/27]
所以,一般的錢包安全等級是:網頁錢包<App錢包<硬件錢包。當然具體還要看開發和運營的項目方對安全的維護能力及重視程度。
02錢包使用如何降低門檻?
比特派:說到錢包的門檻,助記詞是繞不過去的,無論如何用戶都需要自行保管助記詞,想繞開這一門檻的用戶就把幣留在交易平臺,盡量留在較大的交易平臺里,風險會小一些。區塊鏈歷史上交易平臺跑路的案例太多了,所以請自行評估相關風險。
當前的主流錢包已經在盡可能地降低用戶的門檻了,如果真能保管好12個助記詞,后續的錢包操作其實就已經很小白化了。
imToken:數字錢包的使用門檻主要還是在私鑰備份及存儲這一層面,其實包括以太坊社區,很多技術開發者都在關注這一問題。像多簽錢包,EOS的多賬戶私鑰權重,主賬戶子賬戶等,都是在對如何更安全的使用私鑰進行探索,讓私鑰管理的容錯性更高一些。但目前私鑰依然存在,并且需要直接暴露給用戶,由用戶進行最終的存儲和管理。所以這個門檻沒有實質性的降低。
360發布數字貨幣錢包安全白皮書,稱當前有八成“錢包”存安全隱患:360發布數字貨幣錢包安全白皮書,白皮書中稱,八成“錢包”存安全隱患,該白皮書給出了數字貨幣錢包的安全解決方案。方案包括對運行環境、協議交互、數據存儲、功能設計、域名DNS等近50個項目進行安全審計檢測,可實現對“錢包”的全方位保護。[2018/5/26]
我們認為錢包的終極形態即是人鏈交互系統,將人與區塊鏈無縫的進行融合。
03如何安排錢包和交易平臺的存放比例?
imToken:安全策略是因人而異和靈活的。對于大多數用戶而言,需要頻繁操作的資產可以放在交易平臺。如果想長期持有某些Token,還是建議購買一款硬件錢包。
比特派:50%以上、不用來交易或很少使用的Token,應該存在冷錢包里;20%-30%日常使用的Token可以放在熱錢包;20%-30%甚至更多需要用來交易的Token存在交易平臺里。
04挑選錢包時需要考慮哪些因素?
imToken:現在的數字錢包如雨后春筍一般,品質也參差不齊,近兩年市場上更是出現了一大批資金盤錢包和CX錢包,像PlusToken、MGC等。我認為用戶在選擇錢包時候應該注意以下幾點:
首先,選擇品牌影響力和口碑俱佳的錢包。用戶選擇使用第三方提供的錢包,最重要的就是信任這個工具,用戶可以在選擇錢包之前進行一些調研,選擇用戶量多,市場存在時間長,沒有發生過安全問題的錢包。
其次,選擇可以離線生成并管理私鑰的錢包,即可以作為冷錢包使用的錢包。我覺得這點比錢包開源還要重要,因為錢包開源也會存在一些問題,比如真正的產品發布所使用的代碼是不是和開源代碼完全一致,有沒有將用戶的私鑰上傳到自己的服務器等等。如果用戶將手機網絡關閉,依然能夠生成錢包,那么可以證明該錢包不是通過錢包商服務器生成的。同時,用戶也可以通過手機代理的方式來查看網絡請求,看看是否有傳輸密鑰的情況。
最后,用戶可以關注一下開源錢包。對于開源這件事,大家要客觀看待,因為開源≠安全。開源和安全應該是一個相互促進的關系,代碼開源后,可以得到更多優秀開發者的關注,自然能夠提高安全等級。
比特派:大額冷存儲必須用開源的冷錢包和硬件錢包。日常使用的錢包應該考慮的是有著良好的安全口碑,并且有著非常有實力且能保持著良好迭代速度的團隊所開發的錢包。
05操作錢包時有哪些注意事項?
imToken:我之前有提出一個「錢包安全10不原則」基本上很好的覆蓋了用戶在使用錢包時需要注意的事項:
1.不使用未備份的錢包2.不使用郵件傳輸或存儲私鑰3.不使用微信收藏或云備份存儲私鑰4.不要截屏或拍照保存私鑰5.不使用微信、QQ傳輸私鑰6.不要將私鑰告訴身邊的人7.不要將私鑰發送到群里8.不使用第三方提供的未知來源錢包應用9.不使用他人提供的AppleID10.不要將私鑰導入未知的第三方網站
用戶資產被盜的事件起因五花八門,有使用不安全錢包導致資產丟失的,當然更多的是因為自身管理儲存私鑰不當。比較常見的被盜情況就是“監守自盜”這種類型,比如和身邊的朋友、合伙人共同管理一把私鑰,或者不小心將私鑰泄露給身邊的人,因為區塊鏈具有匿名性,所以很容易出現這種情況。
用戶要時刻意識到,私鑰要自己保管,不要告訴任何人,也不要通過任何即時通訊軟件傳播。
比特派:助記詞的保管是最重要的,因為不恰當地保管助記詞所導致的丟幣和幣被盜實在是太多了。
06如何挑選硬件錢包?
比特派:挑選硬件錢包有幾大要素:1.開源;2.有屏幕;3.能一直保持良好迭代的錢包團隊;4.架構合理,價格也合理。
imToken:硬件錢包的普及率還是比較低的,絕大多數用戶對硬件錢包不甚了解。但我建議,大額資產還是使用硬件錢包進行存儲。
在建議用戶選擇硬件錢包這方面,一定要選擇有較高等級安全芯片的硬件錢包。因為市面上有些硬件錢包依然是建立在安卓系統上的,即便是采用開源代碼,也會存在較大的安全隱患,因為硬件錢包是軟件和硬件的結合,軟件層面沒問題,不代表硬件層面不會出現問題。
關于開源的問題,我上邊也談到了開源≠安全,有個蠻有趣的問題可以思考一下:是閉源的蘋果系統安全,還是開源的安卓系統安全?
我認為,一些場景下閉源反而會增大黑客攻擊的難度。
07如何識別詐騙錢包?
imToken:超高收益和拉人頭等具有明顯CX和資金盤行為的項目,都需要引起用戶注意。
其實,用戶不是無法辨別什么是資金盤錢包,而是被高利益吸引,失去了理智。imToken之前在曝光MGC錢包的時候,有很多用戶和我們說:我知道MGC是騙子項目,但是只要讓更多人上當受騙,我就可以賺錢,你們這樣曝光,就沒有人上當了,我就要虧錢了。
所以,這不是如何幫助用戶識別騙局的問題,而是人性的問題。龐氏騙局存在整整100年了,依然屢試不爽。還是希望用戶能夠理智一些,天上是不會掉餡餅的。
比特派:高利息的肯定是詐騙。錢包是用戶自己保管私鑰,私鑰本身又沒有高利息,如果公鏈有著Staking模型那當然是另一回事。所以,詐騙肯定是一眼就能看出來的。
08PoS區塊鏈節點是否會成為錢包發展方向?
比特派:新公鏈一般都是PoS模型,也就會有Staking的收益和相關機制,而新公鏈在設計這塊的時候,都會做成是錢包的場景。
我們已經開始為用戶提供Staking服務了,這塊的布局對我們來說是很自然的一件事情,未來主要的Sktaing公鏈我們都會提供一鍵Staking的服務,讓用戶更方便地使用相關功能。
imToken:我覺得錢包是Staking的天然平臺,可以和PoS進行完美的融合。這會是錢包未來的一個重要業務。
我們團隊也很關注Staking經濟的發展,第一時間支持Cosmos公鏈和ATOM的Staking服務。同樣,我們也對波卡等社區熱門的優質項目保持關注,會在第一時間支持這些項目。
Tags:TOKEKENTOKTOKENCrude TokenGreen Satoshi Token(SOL)UBGToken最新imtoken官網下載
加密市場從未停止在隱私保護和利潤分享兩方面的改進和努力。20世紀80年代由MIT首次提出的零知識證明,和CryptoNote首次提出的環簽名技術是加密市場在隱私保護上的最新成果.
1900/1/1 0:00:00摘要:Bakkt的此次發布可能會成為市場增長的重大推動力。正如此前數字資產平臺Bakkt首席運營官AdamWhite在博客中所透露的,今日,Bakkt準備正式啟動比特幣期貨用戶驗收測試.
1900/1/1 0:00:00“物以稀為貴”這一定律似乎在幣圈玩不轉。日前,西雅圖創業公司StrixLeviathan進行的研究發現,比特幣和萊特幣的價格不受區塊獎勵減半的影響.
1900/1/1 0:00:00尊敬的IDCM用戶: IDCM國際交易所聯盟將于香港時間7月19日15:30恢復EOS和MIR充提幣業務.
1900/1/1 0:00:00近日,節點資本礦池事業部HashFin宣布全面支持IOST生態,參選IOST節點合伙人,并率先投入1000萬IOST支持生態,之后將持續增持IOST.
1900/1/1 0:00:00尊敬的ZT用戶:ZT即將上將上線FIII,具體時間安排如下:開放充值:2019年7月22日10:00開啟交易:FIII/USDT交易對.
1900/1/1 0:00:00