最近业内最受关注的安全方面的新闻恐怕就是Solana钱包Slope出现了安全漏洞。
据目前的信息,在这次事故中,有大概9000多个钱包受到牵连,这些钱包持有者大概被盗了超过400万美元的资产。
这次安全事故是怎么发生的呢?其最根本的原因还是在钱包对密钥的处理上出现了问题。
人们发现当用户使用Slope钱包的移动版产生地址时,地址对应的私钥被发送到了Slope的服务器Sentry上,并且是被明文直接发送到服务器的。
这种做法本身就存在两大致命问题:
OSL母公司BC科技:将保持严格的冷热数字资产钱包储存比例:金色财经报道,港股上市公司BC科技集团旗下加密货币交易所OSL Digital Securities获得证监会批准提升现有牌照,本周四(8月3日)起正式向零售投资者提供比特币(Bitcoin)及以太币(Ethereum)坊等主流币的数字资产交易服务。受此影响,BC科技周五(4日)早市大升24%,报2.06元。
另据BC集团透露,为确保客户受到保障,会继续贯彻强调客户保障的政策和保持严格的冷热数字资产钱包储存比例以保护客户资产。(香港经济日报)[2023/8/4 16:18:24]
第一,敏感信息的通信一般都需要经过加密后才能传输。
以太坊桥TVL下跌至55.9亿美元,30天内跌幅达13.8%:金色财经报道,DuneAnalytics数据显示,以太坊桥当前TVL达到55.9美元,30天内跌幅达13.8%。其中锁仓量最高的5个桥分别是PolygonBridges(30.12亿美元)、ArbitrumBridges(12.72亿美元)、OptimismBridges(8.21亿美元)、FantomAnyswapBridge(2.22亿美元)、NearRaibow(1.58亿美元)。[2022/12/25 22:05:52]
第二,照理说钱包的私钥应该只在用户手里,而不应该被传送到第三方设备上。
德州区块链事务工作组报告:建议立法机构将比特币作为授权投资:11月22日消息,根据美国德克萨斯州区块链事务工作组发布一份区块链报告和拟议的总体规划,旨在根据德克萨斯州第87届立法机构通过的众议院法案1576在德克萨斯州发展区块链行业。该报告审视了德克萨斯州当前的区块链行业发展状态,回顾了该州当前发展该行业所需的学术、教育和劳动力需求,并确定区块链技术带来的经济增长和发展机会。
该报告包含立法和政策建议,旨在鼓励该行业的扩张并建立监管和法律清晰度,以将德克萨斯州确立为区块链技术和加密货币领域的领导者。报告部分建议包括:
-研究一个针对加密支付的两年期的免税期;
-提议给予比特币矿工税收激励措施;
-立法机关应考虑将市值大的加密货币(例如比特币)作为德克萨斯州的授权投资;
-鼓励立法机关采用支持与区块链技术有关的教育计划的决议;
-德克萨斯州应澄清商业企业法,以确保DAO享受全范围的业务实体组建选项。[2022/11/22 7:57:07]
所以当Slope以这样的方式外泄用户的钱包密钥时就为后来的悲剧留下了致命的隐患。
而接下来便是Sentry服务器被黑客攻破,导致服务器上存储的所有这些用户的私钥被全部窃取。这样黑客便开始挨个盗取用户钱包中的资产。
在这场重大事故中,目前暂未发现硬件钱包受影响。
在这个事故中,我认为最根本的要害是钱包的私钥在产生时就被外泄了。
通常,还有一种更为普遍的钱包被盗的方式就是用户安装钱包的设备不安全,使得当该设备在联网时黑客能够通过互联网扫描设备上的信息,盗取钱包的私钥或者助记词,从而盗取钱包中的资产。
从这些场景中我们发现,无论采取什么方式,设备的联网是钱包助记词或者密钥被盗的一个必备条件。如果设备不联网,则黑客再有本事,也无法通过盗取私钥或者助记词盗取用户的资产。
而这一点恰恰就是硬件冷钱包保证资产安全的根本。
一个符合标准或者正规厂家生产的硬件冷钱包一定是隔离互联网的。
一般说来,硬件冷钱包产生钱包地址和密钥是在断网的情况下产生。这就保证黑客无法通过网络联网到设备直接盗取密钥。
另外当用户需要用硬件冷钱包发送资产到其它地址时,硬件冷钱包也是在断网的情况下用私钥对交易进行签名,然后再将签过名的信息传送到联网设备,由联网设备将交易进行广播并完成的。在这里,设备在使用私钥时也是在断网的情况下完成,这也保证了黑客无法通过网络窃取私钥。
纵观硬件冷钱包的使用过程,我们发现,但凡出现私钥或者使用私钥的场景都是在断网的情况下完成,所以这从根本上断绝了黑客盗取私钥的途径,从而保证了硬件冷钱包的安全。
因此,一般来说,我们可以仔细观察市面上较为知名的硬件冷钱包厂商。如果某个厂商出品较久,并且一直以来没有出现过安全事故,那么大概率这个厂商出品的硬件冷钱包就是比较安全和可靠的。
我们就可以比较放心地选择这个厂商的产品。
这次Slope安全事故对我们普通用户最大的教训恐怕还是我曾经反复提及的:那就是我们需要一个硬件冷钱包。我们需要将大部分平时不用来交易的资产存储到这个冷钱包里。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。