數據泄漏 硬件冷錢與軟件冷錢包誰更安全_DGE

這兩天硬件冷錢包廠商Ledger的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據，我的名字和信息也赫然在列！很顯然，數據泄漏對用戶造成了利益侵害，然而我覺得更加值得探討是硬件錢包方向的問題。

之前，我也使用Ledger。后來，因為看到硬件冷錢包的種種缺點，以及軟件冷錢包的興起，才毅然決定做Ownbit軟件冷錢包。

軟件冷錢包

不同于硬件冷錢包，軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機，其中一部永久離線，作為冷錢包存儲私鑰。另一部聯網，作為觀察錢包使用。

軟件冷錢包和硬件冷錢包實現同樣的功能，安全級別類似。但是它們有一些顯著的區別：

friend.tech回應數據泄露：暴露Twitter賬號和地址的關聯并不代表攻擊行為或損失:8月21日消息，friend.tech官方在社交媒體上針對數據泄露相關言論發布回應稱，報道中描述的情況只是有人抓取其公開的API，顯示了公開錢包地址和公開Twitter用戶名之間的關聯。數據泄露的說法就像在說有人可以通過查看用戶的公開Twitter信息來攻擊用戶一樣，是不負責任的報道。[2023/8/22 18:14:07]

軟件冷錢包可以使用閑置手機，沒有額外的硬件；

硬件冷錢包通過數據線或藍牙傳輸數據，而軟件冷錢包通過掃描二維碼；

可信任的助記詞

FBI正在調查3Commas數據泄露事件:金色財經報道，本周一匿名人士泄露了與加密貨幣交易服務有關的10萬個API密鑰，FBI正在調查3Commas 數據泄露事件。這項調查是在這家總部位于愛沙尼亞的加密貨幣交易服務的用戶數周提出批評之后進行的，他們表示，其首席執行官一再無視該平臺泄露用戶數據的警告信號。

在過去幾個月里，數十名3Commas用戶發現，該服務在未經他們同意的情況下，將他們所鏈接的加密貨幣交易所的資金交易出去。最初，3Commas表示，這些用戶很可能是被釣魚，并堅持認為該平臺是安全的。

一個由大約60名成員的3Commas受害者團體此前曾與美國特勤局和其他執法機構聯系，該團體負責人稱，其總損失超過2000萬美元。(Coindesk)[2022/12/30 22:16:06]

軟件冷錢包可以實現更徹底的去信任，用戶可以自行證明其錢包的絕對安全性。

詐騙者郵寄虛假的硬件錢包給Ledger數據泄露受害者:硬件錢包制造商Ledger重大數據泄露的影響仍在持續。Reddit上r/ledgerwallet論壇的一名投稿人以“u/jjrand”為標簽發帖，自稱是受此次數據泄漏影響的投稿人之一，他發布了從郵件中收到的貌似是假的Ledger Nano X錢包的圖片。盡管包裹在看似真實的包裝中，但該設備仍包含幾個引起該網友懷疑的跡象。

最讓人吃驚的是，包裹里還附有一封寫得很糟糕的信，聲稱是Ledger首席執行官Pascal Gauthier的簽名，信中告訴收信人：“出于安全考慮，我們給你發了一個新設備。為了保證安全，你必須換一個新設備。”安全研究員 Mike Grover表示，這個假設備被篡改了。根據分析，這次騙局似乎是為了攔截用戶輸入的恢復短語，以便將細節轉移到一個由詐騙者控制的設備上，然后他們可以用它來竊取相關的加密貨幣資產。（Cointelegraph）[2021/6/17 23:45:01]

在資產安全中，首當其沖的是助記詞的安全。而在助記詞的安全中，首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商的硬件錢包，您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的，是預先生成的，或者是假隨機的。

動態 | 600余家中小型交易所存在通用型漏洞，可導致數據泄露:近日，“漏洞即挖礦“平臺DVP收到“白帽子”提交的多個交易所相關漏洞，經BCSEC和PeckShield安全人員進一步研究發現，這是一種存在于多個中小型交易所的通用型漏洞，一旦被惡意攻擊，可導致受影響交易所的信息數據全部泄露，將嚴重威脅到交易所正常運轉和用戶資產安全。分析發現，這是由于諸多中小型交易直接購買通用交易所程序修改并運營造成的，這種模式雖然構建速度快，一旦出現問題，相關交易所均會受到影響。據統計，此次受影響的交易所范圍多達600余家。[2018/8/9]

硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任，而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。

在使用軟件冷錢包時，你可選擇信任軟件，讓其幫助您生成助記詞。也可以選擇不信任軟件，自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線，不存在向互聯網傳輸數據的可能，所以助記詞的安全性得到了絕對的保障。

因此，軟件冷錢包的助記詞的安全性高于硬件冷錢包。

藍牙vs二維碼傳輸

硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言，硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。

藍牙傳輸方案的優點是：數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限，對于有較大數據傳輸的場景，該缺點顯得尤為突出。例如：較大的比特幣交易。

藍牙傳輸方案的缺點是：安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug，在特定場景下，可能存在安全隱患。另一點是，藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內，通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里，是完全不存在的。

藍牙傳輸的另一個弱點是：可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容，以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任，即用戶可以在數據傳輸層面確保其私鑰不受泄漏，而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。

經濟性和靈活性

軟件冷錢包可以使用閑置的手機作為冷錢包存儲，而無需購買額外的硬件。因此更加經濟。

更重要的是，軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能，例如：多簽冷錢包。

軟件冷錢包的靈活性，也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞，需要購買的硬件，進行硬件恢復。而使用軟件冷錢包，則沒有這樣的顧慮。

封閉和開放

軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式，可以在更廣泛的范圍內定義標準，實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。

兩種方案的錢包生態

目前市場上，雖然主要的冷錢包產品依然是以硬件冷錢包為主，但是它們正在受到軟件冷錢包的沖擊。

硬件冷錢包：

Ledger是最知名的硬件冷錢包方案提供商；

Trezor是另一個知名的硬件冷錢包提供商；

軟件冷錢包：

Ownbit是最早實現軟件冷錢包方案的錢包，也是支持冷錢包幣種最多的錢包之一；

ParitySigner是Parity出品的以太坊軟件冷錢包；

未來

事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。

就像大部分人不需要額外的硬件來進行閱讀，因為手機本身也可以進行閱讀。用更加常見的設備來替代專業的硬件是必然的趨勢！因為它們在功能上類似，甚至更加優秀！

原標題：硬件冷錢包向左，軟件冷錢包向右

Tags：DGEEDGGERLEDQuantum Resistant LedgerHEDG價格HUNGER價格ledger錢包原理

比特幣最新價格