最近,关于加密货币钱包的安全事件不断出现在媒体上:
7月10日,硬件钱包Trezor被曝仅用5分钟即可提取出密钥种子,且漏洞无法通过补丁修复。7月12日,Dash官方推特发布警告,称钱包MyDashWallet出现漏洞。据此前消息,有用户反馈称价值数百万人民币的Dash币遭恶意窃取。
加密资产的安全一直是重中之重,然而很多用户的安全意识薄弱,对钱包的相关知识知之甚少。
今天,白话区块链文字采访了比太钱包创始人比特派钱包开发者文浩和imToken中国区运营负责人Simon,以便能从更多角度帮助大家了解加密资产钱包这方面的问题。
01Trezor和Dash钱包有何安全问题?
比特派:首先,Trezor没出安全问题,MyDashWallet是出了安全问题,这不是一回事。
先说下MyDashWallet,我们从2014年开始就建议用户尽量不要使用网页钱包,因为网页钱包的安全天花板最低,浏览器插件、恶意代码注入、钓鱼链接等等对于网页钱包都是致命的,当然还包括不安全的随机数环境。MyDashWallet只不过是又给网页钱包糟糕的安全记录和丢币历史里增加新的一个案例而已。
动态 | IOTA已发布Trinity钱包安全版本,但主网仍处于关闭状态:IOTA基金会已发布Trinity钱包的安全版本,但主网仍然处于关闭状态。小葱此前提及,IOTA基金会因Trinity钱包用户资金被盗而暂停网络 。(Cryptopotato)[2020/2/17]
而Trezor的事情是另一回事,在过去一段时间Ledger一直用一个所谓的Ledger安全实验室的名义来发布文章攻击Trezor的安全性,但其实对于Ledger的攻击,Trezor早在几个月前就已经做过正面并且清楚的回复了,前几天再次传播的报道其实仍然是几个月前的内容,并没什么新鲜的。
对于硬件钱包来说,100%做到绝对防范物理攻击是不可能的,大家只能努力增加物理攻击的难度罢了。
硬件钱包的真正目的是要做到冷钱包,预防一个远在天涯海角的黑客通过互联网把你的币转走。如果您希望连物理攻击都能防御,使用密码账户就好了,这样即便是攻击者抢走了你的硬件钱包,没有密码也没有用。
imToken:关于Trezor钱包,它使用的是单片机结构,类似一台微型服务器,是通过程序来控制访问私钥的权限,所以存在被绕过和利用的可能。比如程序逻辑漏洞或者一定情况下的内存读取等,核心来讲还是要使用安全存储级别更高的加密芯片来保障访问及使用的安全。
动态 | 谷歌下架以太坊轻钱包安卓客户端 因其属于移动端挖矿App:据该公司称,谷歌已经将 MetaMask 的 Android 客户端从其应用商店中下架。MetaMask 在官方推特表示,其安卓客户端在上周被暂停,谷歌引用了其禁止移动挖矿产类应用进入其应用商店的政策。但是作为一个以太坊应用程序浏览器,MetaMask 不提供挖矿活动。在暂停之后,MetaMask 向谷歌提出了上诉,但被谷歌驳回。MetaMask 表示:目前还不清楚审查人员是否不理解这项政策,或者他们是否在执行一项不成文的政策。据悉,MetaMask 估计每月有 264000 名活跃用户。[2019/12/27]
对于MyDashWallet,这次的问题大致是使用的Script脚本被恶意篡改,导致用户私钥传输到了黑客的服务器上,而且受影响的时间长达两个月,给用户资产安全带来很重大的影响。
关于在线的网页钱包,有太多可能被攻击的方面,比如类似之前MyEtherWallet因为DNS解析污染导致用户访问了黑客构造的恶意脚本,还有就是大量依赖的第三方程序出现漏洞,或者自身服务器被攻击等都会出现安全问题。
所以,一般的钱包安全等级是:网页钱包<App钱包<硬件钱包。当然具体还要看开发和运营的项目方对安全的维护能力及重视程度。
公告 | 火币已完成钱包安全措施升级:据火币公告消息,火币全球站已完成对钱包安全措施的升级。此次安全升级共涉及3个地址,其中包括投资者保护基金、OTC商家保证金、火币创业板项目方保证金、火币创业板项目上币投票、生态基金投资锁仓、超级火伴保证金和其他锁仓等。[2019/5/16]
02钱包使用如何降低门槛?
比特派:说到钱包的门槛,助记词是绕不过去的,无论如何用户都需要自行保管助记词,想绕开这一门槛的用户就把币留在交易平台,尽量留在较大的交易平台里,风险会小一些。区块链历史上交易平台跑路的案例太多了,所以请自行评估相关风险。
当前的主流钱包已经在尽可能地降低用户的门槛了,如果真能保管好12个助记词,后续的钱包操作其实就已经很小白化了。
imToken:数字钱包的使用门槛主要还是在私钥备份及存储这一层面,其实包括以太坊社区,很多技术开发者都在关注这一问题。像多签钱包,EOS的多账户私钥权重,主账户子账户等,都是在对如何更安全的使用私钥进行探索,让私钥管理的容错性更高一些。但目前私钥依然存在,并且需要直接暴露给用户,由用户进行最终的存储和管理。所以这个门槛没有实质性的降低。
现场 | 郭亦卓:普华永道中国正落实数字资产钱包安全框架:普华永道中国风险及控制服务高级经理郭亦卓在今日举办的2018金融科技北京峰会暨区块链世界论坛上分享了普华永道中国区块链领域的投入,他指出,普华永道中国区块链的布局包含与政府、企业紧密合作,实施区块链服务项目,并进行了演讲等公众活动。此外,他就“数字资产钱包安全现状”进行分析指出,目前钱包领域暴露了很多安全问题,诸如用户操作被截屏/录屏记录、未检测软件的运行环境、APP伪造/山寨软件钓鱼、交易密码未检测弱口令、核心代码未加固等。普华永道中国对此设计数字货币钱包安全框架,涉及三个层面:APP安全、服务端安全、业务及管理安全。[2018/10/25]
我们认为钱包的终极形态即是人链交互系统,将人与区块链无缝的进行融合。
03如何安排钱包和交易平台的存放比例?
imToken:安全策略是因人而异和灵活的。对于大多数用户而言,需要频繁操作的资产可以放在交易平台。如果想长期持有某些Token,还是建议购买一款硬件钱包。
比特派:50%以上、不用来交易或很少使用的Token,应该存在冷钱包里;20%-30%日常使用的Token可以放在热钱包;20%-30%甚至更多需要用来交易的Token存在交易平台里。
动态 | 链塔智库:目前硬件钱包安全系数最高:据链塔智库发布的《市场主流数字货币硬件钱包研究报告》显示,目前硬件钱包是所有钱包中安全系数最高的。与基于芯片的硬件钱包相比,黑客拿到物理设备后更容易对类手机钱包发起针对性攻击。从安全性对比来看,芯片类比安卓系统类的安全系数高。从使用性能来看,安卓系统类更加智能,用户体验更好,但操作较繁琐。[2018/7/23]
04挑选钱包时需要考虑哪些因素?
imToken:现在的数字钱包如雨后春笋一般,品质也参差不齐,近两年市场上更是出现了一大批资金盘钱包和CX钱包,像PlusToken、MGC等。我认为用户在选择钱包时候应该注意以下几点:
首先,选择品牌影响力和口碑俱佳的钱包。用户选择使用第三方提供的钱包,最重要的就是信任这个工具,用户可以在选择钱包之前进行一些调研,选择用户量多,市场存在时间长,没有发生过安全问题的钱包。
其次,选择可以离线生成并管理私钥的钱包,即可以作为冷钱包使用的钱包。我觉得这点比钱包开源还要重要,因为钱包开源也会存在一些问题,比如真正的产品发布所使用的代码是不是和开源代码完全一致,有没有将用户的私钥上传到自己的服务器等等。如果用户将手机网络关闭,依然能够生成钱包,那么可以证明该钱包不是通过钱包商服务器生成的。同时,用户也可以通过手机代理的方式来查看网络请求,看看是否有传输密钥的情况。
最后,用户可以关注一下开源钱包。对于开源这件事,大家要客观看待,因为开源≠安全。开源和安全应该是一个相互促进的关系,代码开源后,可以得到更多优秀开发者的关注,自然能够提高安全等级。
比特派:大额冷存储必须用开源的冷钱包和硬件钱包。日常使用的钱包应该考虑的是有着良好的安全口碑,并且有着非常有实力且能保持着良好迭代速度的团队所开发的钱包。
05操作钱包时有哪些注意事项?
imToken:我之前有提出一个「钱包安全10不原则」基本上很好的覆盖了用户在使用钱包时需要注意的事项:
1.不使用未备份的钱包2.不使用邮件传输或存储私钥3.不使用微信收藏或云备份存储私钥4.不要截屏或拍照保存私钥5.不使用微信、QQ传输私钥6.不要将私钥告诉身边的人7.不要将私钥发送到群里8.不使用第三方提供的未知来源钱包应用9.不使用他人提供的AppleID10.不要将私钥导入未知的第三方网站
用户资产被盗的事件起因五花八门,有使用不安全钱包导致资产丢失的,当然更多的是因为自身管理储存私钥不当。比较常见的被盗情况就是“监守自盗”这种类型,比如和身边的朋友、合伙人共同管理一把私钥,或者不小心将私钥泄露给身边的人,因为区块链具有匿名性,所以很容易出现这种情况。
用户要时刻意识到,私钥要自己保管,不要告诉任何人,也不要通过任何即时通讯软件传播。
比特派:助记词的保管是最重要的,因为不恰当地保管助记词所导致的丢币和币被盗实在是太多了。
06如何挑选硬件钱包?
比特派:挑选硬件钱包有几大要素:1.开源;2.有屏幕;3.能一直保持良好迭代的钱包团队;4.架构合理,价格也合理。
imToken:硬件钱包的普及率还是比较低的,绝大多数用户对硬件钱包不甚了解。但我建议,大额资产还是使用硬件钱包进行存储。
在建议用户选择硬件钱包这方面,一定要选择有较高等级安全芯片的硬件钱包。因为市面上有些硬件钱包依然是建立在安卓系统上的,即便是采用开源代码,也会存在较大的安全隐患,因为硬件钱包是软件和硬件的结合,软件层面没问题,不代表硬件层面不会出现问题。
关于开源的问题,我上边也谈到了开源≠安全,有个蛮有趣的问题可以思考一下:是闭源的苹果系统安全,还是开源的安卓系统安全?
我认为,一些场景下闭源反而会增大黑客攻击的难度。
07如何识别钱包?
imToken:超高收益和拉人头等具有明显CX和资金盘行为的项目,都需要引起用户注意。
其实,用户不是无法辨别什么是资金盘钱包,而是被高利益吸引,失去了理智。imToken之前在曝光MGC钱包的时候,有很多用户和我们说:我知道MGC是子项目,但是只要让更多人上当受,我就可以赚钱,你们这样曝光,就没有人上当了,我就要亏钱了。
所以,这不是如何帮助用户识别局的问题,而是人性的问题。庞氏局存在整整100年了,依然屡试不爽。还是希望用户能够理智一些,天上是不会掉馅饼的。
比特派:高利息的肯定是。钱包是用户自己保管私钥,私钥本身又没有高利息,如果公链有着Staking模型那当然是另一回事。所以,肯定是一眼就能看出来的。
08PoS区块链节点是否会成为钱包发展方向?
比特派:新公链一般都是PoS模型,也就会有Staking的收益和相关机制,而新公链在设计这块的时候,都会做成是钱包的场景。
我们已经开始为用户提供Staking服务了,这块的布局对我们来说是很自然的一件事情,未来主要的Sktaing公链我们都会提供一键Staking的服务,让用户更方便地使用相关功能。
imToken:我觉得钱包是Staking的天然平台,可以和PoS进行完美的融合。这会是钱包未来的一个重要业务。
我们团队也很关注Staking经济的发展,第一时间支持Cosmos公链和ATOM的Staking服务。同样,我们也对波卡等社区热门的优质项目保持关注,会在第一时间支持这些项目。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。