AST:数据泄漏 硬件冷钱与软件冷钱包谁更安全

这两天硬件冷钱包厂商 Ledger 的用户数据泄漏事件闹的沸沸扬扬。我看了一下泄漏数据,我的名字和信息也赫然在列!很显然,数据泄漏对用户造成了利益侵害,然而我觉得更加值得探讨是硬件钱包方向的问题。

之前,我也使用 Ledger。后来,因为看到硬件冷钱包的种种缺点,以及软件冷钱包的兴起,才毅然决定做 Ownbit 软件冷钱包。

软件冷钱包

不同于硬件冷钱包,软件冷钱包使用纯软件的方式实现冷钱包功能。用户需要使用两部手机,其中一部永久离线,作为冷钱包存储私钥(助记词)。另一部联网,作为观察钱包使用。

软件冷钱包和硬件冷钱包实现同样的功能,安全级别类似。但是它们有一些显著的区别:

在线密码管理平台LastPass遭集体诉讼,被指控因数据泄露致超5万美元的比特币被盗:1月5日消息,一位被称为John Doe的未透露姓名的原告代表其他类似情况的原告在美国马萨诸塞州地方法院向在线密码管理平台LastPass提起集体诉讼,指控LastPass的数据泄露导致价值约5.3万美元的比特币被盗,原告声称他于2022年7月开始累积BTC,并根据LastPass最佳实践的建议使用密码生成器将主密码更新为12个字符以上,然而在2022年感恩节周末或前后,原告的比特币使用他存储在被告LastPass的私钥被盗。

此前消息,去年12月LastPass披露称,未经授权的一方获得了对第三方云存储服务的访问权限,LastPass使用该服务存储其生产数据的存档备份。[2023/1/5 10:23:08]

软件冷钱包可以使用闲置手机,没有额外的硬件;

Unchained Capital披露合作伙伴的电子邮件数据泄漏:金色财经报道,Unchained Capital 首席执行官 Joe Kelly 在周三发给客户的电子邮件和公司网站上发布的一封信中表示,今年早些时候,Unchained 使用的外部电子邮件营销提供商ActiveCampaign (AC) 上周遭到黑客攻击。与AC共享的信息,客户电子邮件地址、用户名、账户状态、客户是否拥有活跃的多重签名保险库或使用 Unchained Capital 的贷款以及可能的 IP 地址可能已经未经授权流出。Kelly表示,Unchained上任何系统都没有受到影响,这意味着从未与 AC 共享的客户资料信息没有泄露。Kelly补充说,虽然客户比特币保管受到多重签名冷存储的保护,但客户仍应了解发生的事情并警惕网络钓鱼攻击。\u2028(Coindesk)[2022/3/17 14:01:39]

硬件冷钱包通过数据线或蓝牙传输数据,而软件冷钱包通过扫描二维码;

动态 | 慢雾区块链攻防对抗总结:11 月数据泄露趋势愈发普遍:据慢雾 BTI 系统监测发现,暗网中陆续出现区块链相关的数据泄露情报,包括:GateHub 140 万用户信息、数字货币交易所用户信息等,此前 BitMex 也因工作失误导致大量用户邮箱信息泄露。11 月另一个重大安全事件是韩国交易所 Upbit 被黑导致 34.2 万 ETH 从热钱包中被盗,慢雾安全团队怀疑该事件可能和 APT(高级持续性威胁)攻击有关,这种攻击的特点是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。

过去数月,慢雾 BTI 系统还曾披露假充值漏洞攻击、供应链攻击、提币地址劫持替换攻击等,慢雾安全团队在此提醒各项目方,做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。[2019/12/1]

可信任的助记词

动态 | 慢雾区块链攻防对抗总结:11 月数据泄露趋势愈发普遍:据慢雾 BTI 系统监测发现,暗网中陆续出现区块链相关的数据泄露情报,包括:GateHub 140 万用户信息、数字货币交易所用户信息等,此前 BitMex 也因工作失误导致大量用户邮箱信息泄露。11 月另一个重大安全事件是韩国交易所 Upbit 被黑导致 34.2 万 ETH 从热钱包中被盗,慢雾安全团队怀疑该事件可能和 APT(高级持续性威胁)攻击有关,这种攻击的特点是长期潜伏,直到碰到可操作的大资金,一次性大笔盗走。

过去数月,慢雾 BTI 系统还曾披露假充值漏洞攻击、供应链攻击、提币地址劫持替换攻击等,慢雾安全团队在此提醒各项目方,做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。(IMEOS)[2019/12/1]

软件冷钱包可以实现更彻底的去信任(即不需要信任软件开发者),用户可以自行证明其钱包的绝对安全性。

在资产安全中,首当其冲的是助记词的安全。而在助记词的安全中,首要确认是助记词生成的随机性。如果您使用了一个作恶的硬件厂商(或者有bug)的硬件钱包,您可能在第一步就已经陷落了。因为您拿到的助记词可能不是随机的,是预先生成的,或者是假随机的。

硬件冷钱包无法向用户证明在这点上它们是安全的。我们继续使用硬件钱包是基于对该硬件厂商的信任,而这点在数字货币的世界里是脆弱的。软件冷钱包却能给出证明。

在使用软件冷钱包时,你可选择信任软件,让其帮助您生成助记词。也可以选择不信任软件,自行在它处生成助记词。然后通过离线导入的方式生成冷钱包。因为冷钱包的设备是永久离线,不存在向互联网传输数据的可能(唯一的交互是通过二维码扫描和观察钱包之间进行明文传输,可审查),所以助记词的安全性得到了绝对的保障。

因此,软件冷钱包的助记词的安全性高于硬件冷钱包。

蓝牙 vs 二维码传输

硬件冷钱包和软件冷钱包在数据传输上的方式差别也非常大。一般而言,硬件钱包通过蓝牙与手机软件相连接。而软件冷钱包则是通过二维码扫描进行数据传输。

蓝牙传输方案的优点是:数据量大小不受限制。而这正是二维码传输的缺点。因为一张二维码所能包含的信息有限,对于有较大数据传输的场景,该缺点显得尤为突出。例如:较大的比特币交易(UTXO数量庞大)。

蓝牙传输方案的缺点是:安全性低于二维码传输。其安全性弱主要来自于两个方面。一方面是不同的蓝牙协议版本可能存在已知或未知的bug,在特定场景下,可能存在安全隐患。另一点是,蓝牙传输方案留下了被其他设备干扰攻击的可能。在短距离范围内(10米内),通过其他蓝牙设备进行针对性的干扰或攻击。而这点在二维码传输的方案里,是完全不存在的。

蓝牙传输的另一个弱点是:可审计性差。而这点也是二维码传输的一个巨大优势。用户可以明文查看所有通过二维码传输的内容,以确认任何传输的信息都是安全的。这点可以让软件冷钱包方案提供商实现去信任,即用户可以在数据传输层面确保其私钥(助记词)不受泄漏,而不用去信任该方案的提供商或开发人员、甚至不用担心软件本身可能存在的bug。

经济性和灵活性

软件冷钱包可以使用闲置的手机作为冷钱包存储,而无需购买额外的硬件。因此更加经济。

更重要的是,软件冷钱包比硬件冷钱包更加灵活。通常软件冷钱包可以实现比硬件冷钱包更加复杂的功能,例如:多签冷钱包。

软件冷钱包的灵活性,也让其在资产的恢复方面也更加有优势。如果您的硬件钱包损坏,需要购买(同一厂商)的硬件,进行硬件恢复。而使用软件冷钱包,则没有这样的顾虑。

封闭和开放

软件冷钱包比硬件冷钱包更加开放。通过二维码传输数据的方式,可以在更广泛的范围内定义标准,实现不同软件冷钱包厂商之间的互联互通。而通过数据线或蓝牙传输的方式却无法实现这一点。

两种方案的钱包生态

目前市场上,虽然主要的冷钱包产品依然是以硬件冷钱包为主,但是它们正在受到软件冷钱包的冲击。

硬件冷钱包:

Ledger 是最知名的硬件冷钱包方案提供商;

Trezor 是另一个知名的硬件冷钱包提供商;

软件冷钱包:

Ownbit 是最早实现软件冷钱包方案的钱包,也是支持冷钱包币种最多的钱包之一;

Parity Signer 是 Parity 出品的以太坊软件冷钱包;

未来

事物发展的方向永远是化繁为简。越来越多的冷钱包正在以软件的方式实现。

就像大部分人不需要额外的硬件来进行阅读(电子书),因为手机本身也可以进行阅读。用更加常见的设备(手机)来替代专业的硬件是必然的趋势!因为它们在功能上类似,甚至更加优秀!

原标题:硬件冷钱包向左,软件冷钱包向右

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

SOLUSD:算法稳定币:被神话与被妖魔化

随着区块链世界的金融场景不断增长,作为金融基础设施的稳定币越来越被关注。据The Block统计,2020年稳定币供应量从59亿美元增加至248亿美元,涨幅高达322%.

[0:15ms0-1:68ms