比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XMR > Info

數據泄漏 硬件冷錢與軟件冷錢包誰更安全_LOCK

Author:

Time:1900/1/1 0:00:00

這兩天硬件冷錢包廠商 Ledger 的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據,我的名字和信息也赫然在列!很顯然,數據泄漏對用戶造成了利益侵害,然而我覺得更加值得探討是硬件錢包方向的問題。

之前,我也使用 Ledger。后來,因為看到硬件冷錢包的種種缺點,以及軟件冷錢包的興起,才毅然決定做 Ownbit 軟件冷錢包。

軟件冷錢包

不同于硬件冷錢包,軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機,其中一部永久離線,作為冷錢包存儲私鑰(助記詞)。另一部聯網,作為觀察錢包使用。

軟件冷錢包和硬件冷錢包實現同樣的功能,安全級別類似。但是它們有一些顯著的區別:

HubSpot數據泄露事件已波及到NYDIG、BlockFi、Pantera Capital和Circle等加密公司:3月22日消息,HubSpot 數據泄露事件已波及到 NYDIG、BlockFi、Pantera、Circle 和 Swan Bitcoin,不過這些受影響的加密公司表示客戶資金依然安全,盡管用戶信息遭到泄露,但密碼和其他敏感的個人信息卻沒有。其中,美元 Stablecoin USDC 發行方 Circle 透露已經與受影響的各方進行了溝通,后續會繼續監控和調查事件后續發展;Pantera Capital 也已經向客戶發送了電子郵件,向他們保證資金仍然安全。到目前為止,HubSpot 黑客攻擊的全部范圍仍不清楚,相關調查也仍在繼續。

此前報道,加密貨幣金融機構 BlockFi 第三方供應商之一 HubSpot 被黑客攻擊,導致發生數據泄露。Hubspot 存儲的用戶數據包括姓名、電子郵件地址和電話號碼。(blockworks)[2022/3/22 14:11:48]

軟件冷錢包可以使用閑置手機,沒有額外的硬件;

Ledger稱此前數據泄露事件與硬件錢包無關:7月29日,加密硬件錢包公司Ledger詳細介紹了6月底發生的數據泄露事件。據悉,該公司的營銷和電子商務數據庫在6月底遭到了數據入侵。客戶的聯系方式和訂單信息被曝光,但該公司表示,由于攻擊的目標是市場和電子商務數據庫,因此攻擊者無法訪問用戶的恢復短信或私鑰,支付信息和密碼資金未受影響,此外,這次入侵與Ledger的硬件錢包或Ledger的Live安全產品無關。(TheBlock)[2020/7/29]

硬件冷錢包通過數據線或藍牙傳輸數據,而軟件冷錢包通過掃描二維碼;

可信任的助記詞

軟件冷錢包可以實現更徹底的去信任(即不需要信任軟件開發者),用戶可以自行證明其錢包的絕對安全性。

BlockFi稱再次遭受數據泄露,客戶資金未受損失:加密貨幣貸款機構BlockFi周二早上向客戶發出數據泄露警報。?首席執行官扎克?普林斯(Zac Prince)證實,這起泄露事件發生在5月14日,影響了該公司不到一半的零售客戶和機構客戶。客戶的賬戶活動信息、電子郵件地址和郵政地址均已泄露,但是社會保險號碼、執照和政府簽發的身份證的圖片均未被曝光。該公司表示,這一事件持續了“大約一小時”,并未影響客戶資金。(TheBlock)[2020/5/19]

在資產安全中,首當其沖的是助記詞的安全。而在助記詞的安全中,首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商(或者有bug)的硬件錢包,您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的,是預先生成的,或者是假隨機的。

證監會副主席姜洋:區塊鏈數據共享可能引發敏感數據泄露:姜洋在深交所技術大會上致辭稱,隨著大數據、人工智能等技術深入應用,數據的集中存儲和云端管理越來越普遍,一些非持牌機構出于牟利動機,利用技術漏洞非法獲取投資數據,侵犯投資者隱私。區塊鏈數據共享也可能引發敏感數據泄露,甚至危及國家金融安全。下一步要制定金融科技發展規劃,制定清晰科學的實施路線圖。交易所等市場核心機構和行業經營機構要加大資金投入,加強對金融科技的深入研究和開發應用。[2017/12/4]

硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任,而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。

在使用軟件冷錢包時,你可選擇信任軟件,讓其幫助您生成助記詞。也可以選擇不信任軟件,自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線,不存在向互聯網傳輸數據的可能(唯一的交互是通過二維碼掃描和觀察錢包之間進行明文傳輸,可審查),所以助記詞的安全性得到了絕對的保障。

因此,軟件冷錢包的助記詞的安全性高于硬件冷錢包。

藍牙 vs 二維碼傳輸

硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言,硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。

藍牙傳輸方案的優點是:數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限,對于有較大數據傳輸的場景,該缺點顯得尤為突出。例如:較大的比特幣交易(UTXO數量龐大)。

藍牙傳輸方案的缺點是:安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug,在特定場景下,可能存在安全隱患。另一點是,藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內(10米內),通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里,是完全不存在的。

藍牙傳輸的另一個弱點是:可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容,以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任,即用戶可以在數據傳輸層面確保其私鑰(助記詞)不受泄漏,而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。

經濟性和靈活性

軟件冷錢包可以使用閑置的手機作為冷錢包存儲,而無需購買額外的硬件。因此更加經濟。

更重要的是,軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能,例如:多簽冷錢包。

軟件冷錢包的靈活性,也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞,需要購買(同一廠商)的硬件,進行硬件恢復。而使用軟件冷錢包,則沒有這樣的顧慮。

封閉和開放

軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式,可以在更廣泛的范圍內定義標準,實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。

兩種方案的錢包生態

目前市場上,雖然主要的冷錢包產品依然是以硬件冷錢包為主,但是它們正在受到軟件冷錢包的沖擊。

硬件冷錢包:

Ledger 是最知名的硬件冷錢包方案提供商;

Trezor 是另一個知名的硬件冷錢包提供商;

軟件冷錢包:

Ownbit 是最早實現軟件冷錢包方案的錢包,也是支持冷錢包幣種最多的錢包之一;

Parity Signer 是 Parity 出品的以太坊軟件冷錢包;

未來

事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。

就像大部分人不需要額外的硬件來進行閱讀(電子書),因為手機本身也可以進行閱讀。用更加常見的設備(手機)來替代專業的硬件是必然的趨勢!因為它們在功能上類似,甚至更加優秀!

原標題:硬件冷錢包向左,軟件冷錢包向右

Tags:BLOLOCKBLOCLOCAllianceBlock NexeraBlock Farming IndustryblockidentitytokenEDCC Blockchain

XMR
金色前哨|江蘇已率先建成股權交易區塊鏈業務平臺_區塊鏈

金色財經報道,12月21日,江蘇區域性股權市場區塊鏈建設試點系列成果在南京數字金融生態大會上發布.

1900/1/1 0:00:00
金色硬核 | 如何用Token Terminal分析加密資產_MIN

金色財經近期推出金色硬核(Hardcore)欄目,為讀者提供熱門項目介紹或者深度解讀。2020年DeFi大發展,關注DeFi的朋友想必聽說過Token Terminal這個工具,Token Te.

1900/1/1 0:00:00
朱嘉明:產業周期、科技周期與金融周期的失衡_NBS

本文是作者在11月29日由中國國際商會和中國投資協會聯合主辦“大變局”數字經濟線上研討會上的主題發言。以下是朱嘉明先生的發言:大家好,我有一些想法,想借助這次機會,把這個想法跟大家一起討論.

1900/1/1 0:00:00
比特幣的價值發現之旅:搶占黃金份額、圈粉新一代投資者、或成機構標配_MIC

上周末,比特幣的熱度又突然上升,連央視財經都發文直言比特幣正在侵蝕黃金投資市場。比特幣誕生才短短十余年,就開始挑戰人類的遠古共識貴金屬,想想都覺得不可思議.

1900/1/1 0:00:00
金色前哨|MicroStrategy再度加碼比特幣 擬發行4億美元債券_CRO

灰度之外,毫無疑問MicroStrategy是近期華爾街最大比特幣買入者之一。12月7日最新消息,納斯達克上市公司MicroStrategy宣布將向合格機構投資者公開發售總額為4億美元的2025.

1900/1/1 0:00:00
金色前哨 | 一拖再拖 Mt.Gox清算賠償方案終于有了新進展_GOX

一拖再拖,Mt.Gox清算賠償方案終于提交于東京地方法院。Mt.Gox官網發布公告稱,MT.GOX (門頭溝)委托人提交了一份清算賠償計劃草案.

1900/1/1 0:00:00
ads