比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

去中心化錢包安全使用必修課_TOK

Author:

Time:1900/1/1 0:00:00

道路千萬條,安全第一條,區塊鏈安全問題是一個老生常談的問題。數字錢包作為加密資產流轉、存儲的重要平臺,在區塊鏈時代一直扮演著非常重要的角色,投資者要如何安全使用去中心化錢包,如何有效規避去中心化錢包的各類風險,保護自身資產安全,是我們每一位數字資產持有者都需要關心的問題。

今天,我們很榮幸邀請到TokenPocket聯合創始人&CTO陳達做客世鏈直播間,世鏈集團運營負責人Richard擔任主持人,從各種區塊鏈項目方面臨的安全問題出發,全面剖析去中心化錢包安全,講解區塊鏈錢包安全知識!

以下為直播專訪實錄,世鏈財經編輯整理:

世鏈集團運營負責人Richard:去中心化錢包作為當前市場存儲數字貨幣的主力軍,您認為去中心化錢包主要安全風險有哪些?

TokenPocket聯合創始人&CTO陳總:根據我們近幾年從事錢包行業來看,可以把風險主要分為兩類,第一類就是助記詞和私鑰的保存出現問題,另一個就是合約交互出現問題。接下來,我會根據不同錢包來闡述這兩種類型的安全隱患。通常來說,我們會把去中心化錢包分為兩類,一類是冷錢包,一類是熱錢包。其中冷錢包可以分為紙錢包、助記詞板、硬件錢包,還有離線手機冷錢包,而熱錢包就是我們常用的手機錢包、電腦插件,還有一些網頁和客戶端的錢包。

從第一類的助記詞和私鑰的存儲安全來看,冷錢包其實可以解決一部分風險問題。因為冷錢包是全程不觸網的離線狀態,所以它的助記詞和私鑰安全可以得到很好的保障。而對于熱錢包來說,比如我們用手機錢包還有插件的話,由于它是聯網狀態,可能會被一些手機環境所影響。比如市面上很多手機APP都會讀取粘貼板,而電腦安裝的插件也會帶來相應影響。所以在熱錢包這塊,其實會比冷錢包的不觸網環境更多一些風險。

Rektguy聯創:Red Lite District #44已在蘇富比上架拍賣:金色財經報道,NFT項目Rektguy聯合創始人OSF在社交媒體宣布“Red Lite District #44” NFT已在蘇富比上架拍賣,拍賣將于太平洋時間3月31日上午11:05結束,蘇富比提供的拍賣估價為15,000-25,000美元,當前出價為17,000美元。另據OpenSea數據顯示,當前Red Lite District系列的地板價約為12,69 ETH。[2023/3/25 13:25:48]

然后是第二類的合約交互風險,比如大家經常會遇到的approve問題,就是合約交互相關的風險之一。其實從本質上來講,不管是冷錢包,還是熱錢包都會面臨合約交互相關的風險,這是無法避免的,后面我也會具體講合約交互這塊兒遇到的問題。最后還有一個比較重要的地方就是錢包來源。冷錢包可能會面臨購買渠道不安全,而熱錢包可能面臨來源風險,很多人會下載到一些盜版軟件,或者是病軟件,最終導致錢包處于被盜的狀態。

世鏈集團運營負責人Richard:近年來去中心化錢包丟幣事件頻頻發生,大多數人將焦點放在去中心化錢包的安全使用上,有些粉絲非常關心冷熱錢包的問題,對此您能深入講解下熱錢包和冷錢包的區別,以及正確使用方式嗎?

TokenPocket聯合創始人&CTO陳總:其實冷錢包可以解決部分私鑰助記詞存儲的風險,TP最開始就支持了手機的冷錢包,最近也支持了硬件的冷錢包。從冷錢包的主要用途來看,一是存儲私鑰和助記詞,二是部分用戶會通過冷錢包使用一些DeFi產品,一般情況下需要搭配熱錢包或者觀察錢包。通過觀察錢包跟冷錢包之間去交互,可以通過冷錢包去簽名這筆交易,然后通過觀察錢包掃碼的方式將這筆交易提交到鏈上。

經合組織呼吁就加密貨幣政策開展國際合作:12月15日消息,經濟合作與發展組織(OECD)發布一份新報告,分析Terra、Celsius、Three Arrows Capital、FTX等事件及其影響。報告稱,雖然目前加密公司倒閉對傳統金融影響不大,但是未來隨著加密行業與傳統金融的聯系越來越緊密,下一次加密崩潰可能會導致更廣泛的金融不穩定。“如果情況發生變化,未來更大的加密資產市場出現類似動蕩,可能會對金融穩定產生影響。”經合組織聲稱“迫切需要采取政策行動”,特別是保護散戶投資者。

經合組織呼吁在加密貨幣政策方面進行國際合作,以避免監管套利機會,并避免全球各地的監管分散。(The Block)[2022/12/15 21:46:40]

那么使用冷錢包的話需要注意兩點,一是助記詞的備份。因為冷錢包也是需要備份助力詞,一般的話硬件錢包都會配一個助力詞卡片,或者買一個助力詞板,然后放在保險柜里,相對來說是一個比較安全的方式。二是配套錢包的使用,如果你使用冷錢包時想去進行一些DeFi操作,或者去簽名一些交易,需要保證配合冷錢包的熱錢包是一個正規或者官方的錢包。如果配套錢包出問題的話,也是會帶來風險。

最后考慮到冷錢包是完全離線的狀態,可能沒辦法完全解析出來你要簽名的交易信息,有時候甚至顯示的可能是一些看不懂的16進制字符串。那么在這種情況下,我建議最好不要去簽這種交易,也就是拒絕盲簽。

世鏈集團運營負責人Richard:我們知道,中心化錢包存資產,去中心化錢包存私鑰,如何防止私鑰泄露與丟失至關重要,您認為用戶該如何保存私鑰最安全?

TokenPocket聯合創始人&CTO陳總:我舉一些反例,目前我們錢包最經常遇到的情況就是,用戶將助記詞和私鑰截圖放在手機相冊里。但其實很多APP都有相冊讀取權限,所以保存在手機里就意味著你將這張圖分享給了手機里的大部分軟件。當然不同的系統是有不同的權限,IOS可能限制會高一點。

Strix Leviathan:在FTX的資金有限,沒人預料到FTX會失敗:金色財經報道,加密對沖基金Strix Leviathan表示,在FTX無法提取的資金數量有限。Strix Leviathan首席執行官Sadie Raney談到,我們經歷了多次市場崩盤。我們過去使用過Voyager。我們也用過BlockFi。當有一些跡象表明他們可能出現這種情況的時候,我想你可以提前行動并表示自己已停止相關交易。但是這一次,我不認為有人預見到了。

Strix Leviathan首席投資官Nico Cordeiro補充說,雖然公司“有一些資金被凍結在那里”,但這只是其投資組合中的一小部分。(彭博社)[2022/11/11 12:51:53]

另外還有一些情況是,用戶用手機復制助記詞私鑰被其他APP讀取粘貼板,用戶將助記詞私鑰寫在紙上遺失了,甚至有用戶讓朋友去幫忙創建錢包,然后把私鑰再給到他,導致私鑰已經是泄露狀態。這從目前被偵破的盜幣案例來看也是這樣,有很大一部分是被身邊的朋友盜取。還有一些釣魚網站騙用戶輸入助記詞和私鑰,或者是海外telegram上面假扮客服騙取助記詞和私鑰。要注意,不管是TP官方,還是其他官方,任何人都不會要你的私鑰和助記詞。

以上主要是說我們錢包用戶遇到的一些情況,下面我再介紹一下如何去保存私鑰和助記詞。首先是我自己的錢包,我會分為常用和不常用兩種,將所有資料都存在1password這種專門存儲重要信息的軟件,然后我會去做分段的復制加密,把我的助記詞分成幾段,存在不同的地方。

除此之外,我也會買一個助記詞版,如果家里有保險箱,可以將助記詞板放到保險箱里,是相對比較安全的保管方式。如果有不用的手機,也可以作為一個冷錢包來使用。或者你懂技術多一點的話,也可以去做一些加密存儲,當然大部分是沒有必要的,用之前的方式也足夠了。

最近活躍5年以上的BTC供應百分比達到24.695%:金色財經報道,Glassnode數據顯示,最近活躍5年以上的BTC供應百分比剛剛達到24.695%。[2022/9/11 13:22:32]

現在市面上已經有一些智能錢包,還有多簽錢包。智能錢包有一些社交的恢復機制確實挺好用,但是成本可能會會大一些。如果你的資產確實很大,而且需要共同去管理的話,我覺得多簽錢包也是一個很好的方式。比如你家里有三個人,可以做一個三二的多簽錢包,每個人管一個私鑰,也就是三個人其中有兩個人的私鑰才能去管理這個資產,那如果其中有一個人的私鑰丟了,也是可以避免資產損失。

世鏈集團運營負責人Richard:除此之外,還有很多不法分子通過假空投、假APP、釣魚網站方式騙取錢包私鑰,您認為用戶該如何防騙?

TokenPocket聯合創始人&CTO陳總:其實假空投、假APP、釣魚網站正好是三種類型的盜幣方式。首先是假空投,一般都是騙取你去approve也是一種合約問題。其次是假APP,從來源上直接把手機錢包做成假的,然后讓用戶進入錢包直接被盜。最后是釣魚網站,一般也是會有approve,甚至是可讓你去輸入私鑰。我覺得最核心的問題就是私鑰這件事,除了你放錢包里,任何地方都不應該去輸入私鑰和助記詞。

尤其是假APP的問題,甚至有段時間百度搜索出現的比較知名的錢包,像TP、imtoken或者說其他錢包,連百度標志的官網都不是真正的官網。所以說這個事情很嚴重,大家還是要從多方去了解官網信息。然后假空投的話,如果是approve的情況下,其實現在很多錢包都有提示,包括像TP,你去授權一些東西的時候,它會很清晰的告訴你,你正在做一個什么樣的操作。一般正常來說,空投肯定不會讓你去做簽名操作的,一般可能輸一個地址就可以了。如果是說讓你去簽名,或者去商店就都是假的。

美聯儲副主席布雷納德:波動性暴露出嚴重的加密貨幣漏洞:7月8日消息,美聯儲副主席布雷納德表示:波動性暴露出嚴重的加密貨幣漏洞,現在需要建立加密金融系統的健全監管基礎,不能等到加密貨幣生態系統變得如此龐大和相互關聯,以至于可能帶來金融穩定風險。加密貨幣活動需要按照類似風險、類似監管結果的原則進行監管,還必須解決與新技術有關的新風險。強有力的監管將使投資者和開發商能夠建立一個有彈性的數字原生金融基礎設施,重要的是監管機構在國內和國際上致力于維護金融系統的穩定和解決逃避監管的問題,加密平臺極易受到去杠桿化、拋售和情緒傳染的影響。現在是時候確定哪些加密活動以及在哪些約束條件下是被監管實體允許的。加密貨幣還沒有大到足以構成系統性風險,美聯儲密切關注加密貨幣領域的近期事件,央行數字貨幣(CBDC)可能對金融穩定有好處。[2022/7/8 2:00:57]

正好今天還遇到一件事,無聊猿官方的Instagram官方賬號被盜了,然后發了一個釣魚網站。很多無聊猿的大戶以為是官方肯定不會出問題,結果就被盜了,好像被盜了一百多只猴子。所以即使是官方,不管是郵箱或者任何渠道,我覺得大家也都要去警惕,不要輕易去相信。

世鏈集團運營負責人Richard:TokenPocket作為全球領先的多鏈自托管去中心化錢包,您認為TokenPocket在錢包安全性上有哪些比較好的措施和手段?

TokenPocket聯合創始人&CTO陳總:我覺得最核心的一點就是,TP在一些敏感操作上會有強提醒,包括approve,轉賬,授權,簽名之類的敏感操作。目前很大一部分用戶被盜其實都是在approve這一塊,但即使是有強提醒,還是會有一些用戶不顧提醒,然后去授權一些東西,我覺得這是很頭疼的事情。

除了強提醒,我們還有一個舉報機制。當我們收到舉報后會去審核,如果發現確實有問題的,我們會拉黑處理。一般情況下,我們是根據舉報程度有不同的措施,最嚴重的話就是完全訪問不了網頁。此外,我們也會遇到一些用戶給合約轉賬,那么大部分情況下,合約其實是沒辦法把幣取出來的,所以我們在轉賬頁面會有一個檢測,提示用戶轉賬的地址是個合約,可能會出問題。

作為錢包的話,我們有冷錢包,硬件錢包,觀察錢包,插件錢包等不同類型的錢,可以滿足不同安全需求的用戶。比如不是經常操作的用戶,可以用冷錢包;想要觀察資產變化和大V動向,可以用觀察錢包,不需要導入私鑰。我們今年年初和去年年底推出了硬件錢包,適合不經常操作,然后資產比較多的用戶,會選擇硬件錢包這樣的方式。

世鏈集團運營負責人Richard:Tokenpocket與一般去中心化錢包的區別是什么?它有哪些主要功能?

TokenPocket聯合創始人&CTO陳總:因為TP初創團隊都是做技術的,所以在設計還有開發錢包的時候,可能會更加開放一些。TP錢包是最早支持這種自定義的EVM,自定義波卡的錢包。而且我們錢包對一些開發者是比較友好的,TP會支持比較多的開發協議,包括自己也有一套這種協議,同時支持Mobile?的SDK,就是手機的APP也可以通過換取TP錢包來進行一些授權,

另外我們錢包現在也支持像ERC20、NFT還有一些DeFi的信息,此外token價格更新也是比較及時的,包括各個EVM的鏈。而且我們現在也做了聚合交易,包括跨鏈和本鏈的聚合。TP最早其實也支持冷錢包,觀察錢包,包括剛才說到的一些安全方面的措施。

世鏈集團運營負責人Richard:剛才陳總也講到了無聊猿被盜事件,前段時間還出現了周杰倫的NFT被盜,目前NFT的價值在不斷被人們認可,對于NFT資產的存儲安全有沒有特別需要注意的事項?

TokenPocket聯合創始人&CTO陳總:因為NFT其實它也是一個token,也有一個類似于approve的操作,就是授權。大家在去交易的時候要注意一下,不要去執行這個setApprovalForAll的方法,它其實就是授權NFT可以給這個人用。除了這個approve的方法以外,其實還有一個風險,比如OpenSea的掛單是通過去712的簽名,它雖然不是上鏈的,但是他確實會對交易造成影響,就是先去授權給OpenSea以后,你要賣多少錢,它還有第二步的簽名,這個簽名雖然不上鏈,但確實會影響你掛單的價格。

之前我聽說過一個新聞,有人去釣魚這個簽名。而他釣魚的方式無非就是讓我去簽名,然后把無聊猿或者說NFT以一個很小的價格去掛單,然后黑客以一個很低的價格來購買,從而盜取NFT。但是在整個過程中,你并沒有去交易,而是做了一個簡單的簽名。所以大家后面去做這樣的簽名要注意一下,你簽名的內容是不是真的。

所以NFT主要就是這兩部分,一部分就是剛才說的setApprovalForAll,另外一個就是你去簽名的內容要仔細辨別,我覺得應該就沒有什么太大問題了。

世鏈集團運營負責人Richard:請問TokenPocket是否有開源計劃?預計什么時候開源?

TokenPocket聯合創始人&CTO陳總:其實TP從最開始就做了一個開源的版本,但是這個開源版本一直沒有去跟進,沒有和現有版本進行一個同步。為什么呢?因為我們考慮到,其實開源并不一定就是最好的選擇,因為開源其實是一把雙刃劍,也會帶來一些安全上的隱患。而且也降低了一些作惡的成本,像前面所提到的很多黑客會去開發盜版的手機錢包。

如果我們把版本全部開源的話,其實黑客可以很簡單地改寫兩行代碼,做出來一個跟我們錢包幾乎一樣的東西,從而達到作惡的目的。所以全部開源也是一個很危險的事情,我們采取的做法就是保留了一個比較原始的開源版本,現在也有很多開發者基于這個開源的版本做一些事。而且現在很多主流的錢包都是不開源的,即使開源也只是開源部分比較核心的東西,而不會完全把所有內容都開源出去。

世鏈集團運營負責人Richard:對于去中心化錢包未來的發展,TokenPocket有何戰略規劃?

TokenPocket聯合創始人&CTO陳總:現在主要是分成兩個維度去做一些錢包相關的事情,第一個維度在不同端做不同端的錢包,包括一開始做的手機APP,后來做的桌面錢包,然后去年和今年又分別做了硬件錢包,插件錢包。我們后面會把各個端錢包的用戶體驗以及安全都做到一個非常好的使用場景,然后給不同安全需求的用戶打造舒適的使用體驗。

另外一個維度就是接不同的公鏈,其實我們現在接的比較主流,也就是大家常用的公鏈,后期也會考慮其他公鏈。比如最近推特的事情,可能我們也會考慮去接狗狗幣這類型的公鏈。最后的話,其實我們現在也在做一些鏈上協議的建設,包括孵化了一個聚合閃兌的協議,一個社交協議,以及后面我們也會在NFT相關領域做一些鏈上產品。

世鏈集團運營負責人Richard:非常感謝陳總的干貨分享,讓我們又重新學習了一遍區塊鏈安全知識。確實如陳總所說,去中心化錢包安全風險主要是錢包的來源和錢包使用的環境,大家一定要找官網渠道安全下載,切勿相信不明來源鏈接,也不要和任何人分享私鑰、助記詞。總之安全是前提,希望未來大家都能夠安全使用去中心化錢包,保護自己的資產。

Tags:APPTOKETOKENTOK超級黃金幣app下載renshentokenHalving TokenEndgame Token

比特幣最新價格
如何打造可持續的 X to Earn 經濟體系?_VET

加密經濟最大的優勢之一,是可以靈活的設計激勵結構,從而幾乎不受制約的建造任何形式的經濟系統。在加密經濟系統中,Token是生產關系的核心,也是重要的資源協調工具.

1900/1/1 0:00:00
專訪 STEPN 創始人:從地質勘探、開餐館,到 10 億美元的 Web3 殺手應用_NFT

YawnRong是STEPN的聯合創始人。STEPN是一款Web3的跑步應用,通過游戲化金融的方式讓用戶邊跑邊賺錢,并幫助減少碳排放.

1900/1/1 0:00:00
NFT 交易平臺:藍海 or 紅海市場?_NFTG

KeyTakeaway 藍海市場是一種新興市場,利潤率高,不存在惡性競爭;而紅海市場是已知且競爭激烈的市場,有著較高的壁壘和嚴格的行業競爭規則.

1900/1/1 0:00:00
盤點Luna暴雷后遭受重創的機構_Terra

過去兩周,Terra與UST史詩級崩盤,市值蒸發超500億美元,受到市場矚目。不僅散戶投資者損失慘重,不少重倉的機構和加密名人也遭受重創.

1900/1/1 0:00:00
SyndicateDAO創始人:熊市是Builder的巨大機會_REN

上周,我們迎來了加密領域歷史性時刻之一,它帶來了新的長期性加密熊市,并且導致了更及時更成熟的監管誕生,并最終成為下一個牛市的基礎,這篇文章是我自己的一些見解.

1900/1/1 0:00:00
市場報告:2022年你不可錯過的三大趨勢性山寨幣_區塊鏈

點擊上方“藍色字”可關注我們!暴走時評:在本周的“市場報告”欄目,Cointelegraph的常駐專家討論了2022年值得購買的三大趨勢性山寨幣.

1900/1/1 0:00:00
ads