12月21日,黑客網站Raidforums公開了從硬件錢包制造商Ledger中竊取的100多萬封客戶電子郵件。Ledger隨后表示“確實可能是我們2020年6月電子商務數據庫的內容”。
硬件錢包盡管主打安全牌,但是硬件錢包漏洞和丟幣事件卻也從未銷聲匿跡。隨著比特幣逼近30000美元,用戶繼續安全的地方來存儲自己的比特幣,而硬件錢包真的安全嗎?
12月30日,周三,下午2:00,HolderWallet負責人、巴比特UED總監阿本、庫神錢包商務VP吳美霖做客鏈節點進行AMA,教你如何選擇一款適合自己的硬件錢包。
以下是本場AMA的精彩部分:
硬件錢包采用開源普通芯片Vs.和安全芯片問題,哪個更重要些?
阿本:
風投公司Molten Ventures對其在Ledger和Revolut的股份價值進行減記:6月16日消息,總部位于倫敦的風險投資公司Molten Ventures對其在加密錢包提供商Ledger和提供加密交易的數字銀行Revolut Ltd.的股份價值進行了減記,這表明風險投資公司對科技初創公司和加密行業變得更加謹慎。
Molten Ventures在周四的年度報告中表示,截至2023年3月,該公司對Ledger的投資公允價值為7180萬英鎊,比2022年的9190萬英鎊下降了22%。與此同時,Revolut在同一時期的估值下降了40%,降至5450萬英鎊。總體而言,Molten總投資組合的公允價值同比下降16%至14億英鎊。
報道稱,去年,加密行業本身受到一系列引人注目的公司倒閉、價格下跌和監管反彈的影響,抑制了投資者對增長的預期。根據PitchBook今年4月的數據,今年第一季度,對加密公司的風險資本投資暴跌至24億美元,這是自2020年以來的最低水平,比去年同期123億美元的歷史最高水平下降了80%。[2023/6/16 21:41:40]
開源不等于安全,開源只是自證清白的手段。在硬件錢包都屬于完全隔絕網絡的情況下,其實主要考慮的是如何不被「物理攻破」從而獲取錢包里的私鑰。在「物理攻破」層面,采用安全芯片會更加安全。
Trezor 遭釣魚攻擊,疑似源于 Ledger 被盜數據庫:比特幣安全專家 Andreas Antonopoulos 發推提醒稱,此前攻擊硬件錢包提供商 Ledger 數據庫的黑客現在正嘗試通過網絡釣魚攻擊 Trezor。用戶收到信息顯示,「您的 TREZ0R 錢包已被停用。由于新的 KYC 規定,您需要通過驗證」。Andreas 補充表示,新的網絡釣魚攻擊似乎源于從 Ledger 中被盜的同一個數據庫,出現了同樣的名字和號碼,而且似乎與 Trezor 無關。[2020/12/13 15:03:43]
打個比方,如果硬件錢包是我們為用戶搭建的「私人金庫」,開源應用層代碼其實是把「金庫圖紙」交給所有人,從而告訴你們該金庫并沒有保留用戶所不知道的「后門」,但同時增加了不法之徒想要通過圖紙了解金庫結構從而采用其他方式進入金庫的可能性。而安全芯片可以理解為「私人金庫」里為你量身定做的軍工級「保險箱」,里面存儲著你的「私鑰」,這樣哪怕黑客進入了你的私人金庫,但是沒有保險箱的密碼,他也永遠拿不走你的「私鑰」。
JUST用戶現可使用硬件錢包Ledger Wallet登陸:據官方消息,JUST用戶現可使用硬件錢包Ledger Wallet登陸,只需連接Ledger設備,遵循以下步驟解鎖:1、使用支持Ledger固件版本。2、在Ledger Live中搜索安裝Tron App。3、在Ledger中輸入PIN碼后打開“Tron”。據悉,JUST是一個雙代幣系統。第一個代幣USDJ是按1:1的匯率與美元掛鉤的穩定幣,是通過JUST的CDP門戶抵押TRX產生的。第二個代幣JST,可用于支付利息,平臺維護,通過投票參與治理以及JUST平臺上的其他活動。[2020/6/9]
所以其實在「金庫圖紙」都公布的情況下,采用「安全芯片」相當于給用戶在「私人金庫」里再加了一個經過計算機安全國際標準認證的「保險箱」,成本雖然高了,但是更安全了。
吳美霖:
安全芯片和錢包開源是不能兼顧的,目前庫神錢包也是因為我們使用的是安全芯片,而安全芯片提供的算法致使我們無法開源。安全芯片和普通芯片的差別還是很大的。我們都在說數字貨幣加密,而加密算法背后最重要的核心就是隨機數。安全芯片可以生成真隨機數,隨機性大于非安全芯片生成的偽隨機數。所以我們權衡利弊的時候,一定要保留安全芯片。
Spacemesh開放測試網Tweedledee上線:據官方消息,以色列區塊鏈初創公司Spacemesh宣布首個開放測試網 0.1版 Tweedledee上線,該測試網僅需要25GB HD可用空間即可進行存儲。[2020/3/3]
開源=絕對去信任?你手上的硬件錢包的代碼真的是廠商說的代碼嗎?
吳美霖:
開源與不開源決定不了錢包的安全性,開源就是把代碼公開,更透明一些,至于代碼以及到手的硬件錢包是否采用的源代碼用戶是不得而知的,除非像你說的那樣把硬件拆下來拿去反編譯一下。對沒有過硬技術的普通用戶來說,還是選擇靠譜的品牌錢包比較重要。
4.HolderWallet的雙芯片架構智能硬件錢包,是否可以理解同時具備智能錢包和硬件錢包的優點?智能硬件錢包會是以后錢包的方向嗎?
阿本:
HolderWallet采用雙芯片架構,「安全芯片」保障私鑰的安全,「AI芯片」優化產品體驗產品,所以同時兼顧了安全和智能。
硬件錢包生產商Ledger警告新型攻擊 目前尚無受害人:年銷售量超100萬的硬件錢包生產商Ledger近日警告用戶一項新型攻擊——中間人攻擊(Man in the Middle,簡稱MiTM)。Ledger使用JavaScript在主機上顯示交易接收地址,而惡意軟件可以通過更改產生接收地址的代碼,使其產生的接收地位是黑客的接收地址。據檢驗,如果錢包軟件儲存在AppData文件中,更容易被惡意軟件攻擊、更改接收地址。目前,Ledger建議用戶在每次轉帳前點擊“Monitor”鍵,再次確認接收地址是否準確。Ledger表示,目前尚無用戶表示被這種方式盜取加密貨幣。[2018/2/4]
我認為以后的硬件錢包能做更多事情,而不僅僅是「存儲」,所以我們稱HolderWallet為「第一款智能硬件錢包」,再加上今年Defi的爆發作為契機,以后的智能硬件錢包會有更多可能性。
DeFi保險類COVER最近被黑客侵入,價格甚至一度歸零。硬件錢包如何解決這類問題?
阿本:
COVER這個案例特別典型,它的代碼就是全開源的,但正是因為開源,讓黑客發現了它的漏洞,從而鑄造了基本無限量的COVER代幣,這就是為什么「開源不等于安全,開源只是自證清白的手段」。
而HolderWallet采用的「雙芯片架構」分工明確:「AI智能芯片」負責應用層的邏輯交互,而「安全芯片」只負責生成并存儲用戶的「私鑰」以及在使用過程中的「簽名」,而CCEAL6+是由國際權威機構認證的安全級別,保障了私鑰的生成過程足夠隨機、「存儲」及「簽名」的方式足夠安全。
CC是指信息技術安全評估標準,這是基于計算機安全認證的國際標準,而EAL是經過CC標準評估后給出的安全級別,目前共有1-7級,越高越安全。到目前為止,HolderWallet采用的CCEAL6+安全芯片已經是業內最高標準,達到了軍工級別。
安全芯片提供了增強型的安全特性,支持電氣環境監測,可對抗功耗分析和故障注入等。具備安全芯片隔離區內生成密鑰樹種子,加密存儲私鑰,隔離區離線簽名;具備防暴力撞擊和暴力自毀保護,防供應鏈攻擊、女傭攻擊和字典攻擊,防系統漏洞和中間人攻擊。
芯片內置了物理真隨機發生器,通過采集量子隨機運動狀態生成無規律的真隨機數,摒棄一切軟件錢包依賴的偽隨機函數和算法,真正做到去偽存真,讓規律碰撞攻擊無從下手。
硬件錢包性價比本來就不高,安全芯片更是推高了成本。即便有硬件錢包,總還要把助記詞備份在卡片上吧,明文卡片助記詞,也存在像硬件錢包一樣被盜的概率吧,就像木桶定律,安全的最大短板不是卡片上備份的助記詞嗎?安全芯片在性價比綜合考慮下真的有那么必要嗎?
吳美霖:
安全芯片的作用是安全合成以及儲存私鑰,以及保證密碼的隨機性,是重中之重。所以安全芯片是大前提,當然助記詞也要好好保管。
阿本:
1、增加安全芯片確實會提升硬件錢包成本,但我認為硬件錢包的本質就是「最大限度地保障用戶私鑰安全」,所以在這個前提下,這些成本物超所值。
2、「助記詞」確實是最核心需要用戶保護的「阿喀琉斯之踵」,所以我一直認為其實保護好自己的數字資產不是一個「安全問題」,而是一個「社會工程學問題」,我們能夠保證存儲在HolderWallet里的「私鑰」絕對安全,但是保管好「助記詞」這件事,需要用戶層面加以更多關注。核心理念就像三體里所說的「藏好自己,做好清理」。
事物發展的方向永遠都是化繁為,市面上也出現了軟件冷錢包,比如Ownbit和ParitySigner這種,便宜,安全級別類似且可實現更復雜的功能,比如多簽冷錢包。硬件錢包未來需要如何發展才能保持市場競爭力?
阿本:
每種錢包都有自己的特定用戶,確實并非所有用戶都需要考慮使用硬件錢包,在自身「安全意識」足夠健壯的情況下,任何方式都可能是一個好方法,哪怕只是一張紙:
而硬件錢包HolderWallet實際上是希望能夠幫助那些自身「安全意識」不那么健壯,或者是希望自己資產得到「最大限度安全保障」的用戶存儲他們的私鑰。
而要得到「最大限度安全保障」,光靠軟件是不夠的,還需要底層硬件做支撐,這是硬件錢包的根本,像您說的,「事物發展的方向永遠都是化繁為簡」,在安全這層,我們希望盡量恒定所有「繁雜的變量」,才能把安全做到「極致地簡單」。
最近BTC價格創新高,為幣圈吸引了一大批新人。小白用戶該如何存儲數字資產?硬件錢包是不是門檻太高了?
吳美霖:
很多人都說我是新人沒必要了解錢包或者用不到錢包,其實安全對于我們來說從來都不分金額大小,積小成多,每一步資金的積累都離不開安全的防護。我給大家的建議是在買幣之前一定要先了解行業的發展及儲存數字資產的工具,這樣有了幣才能留住幣,才算是把錢牢牢地抓在自己手里。
阿本:
正好相反,硬件錢包作為一個「存儲數字資產」的工具而言,它的門檻并不高。因為核心流程就是生成私鑰——備份助記詞——然后把資產轉賬給您在硬件中生成的錢包地址里,不用擔心是否因為聯網被人盜取私鑰,不用擔心是否把資產存在交易所會出現第二個「門頭溝事件」。
而您唯一要做的,就是「藏好自己,做好清理」,做時間的朋友。
Tags:LEDEDGEGEREDGICO OpenLedgerledger錢包硬件壞了怎么辦cointiger交易所老板Ledgerium
12月31日,Coinbase因“非法”銷售瑞波幣遭遇客戶集體訴訟,用戶希望Coinbase退還“非法”銷售瑞波幣的傭金。該集體訴訟是由托馬斯·桑多瓦爾提起.
1900/1/1 0:00:00太長不看:如今,許多流動性挖礦項目都依賴于DeFi借貸協議。DeFi借貸協議被視為一種相對安全成熟的利用密碼學資產創造收益的方式.
1900/1/1 0:00:002021年1月5日,美國貨幣監理署(OCC)一封解釋信中表示,允許聯邦銀行使用區塊鏈和穩定幣進行結算,以及發行穩定幣.
1900/1/1 0:00:00來源:經濟日報 記者:田原 2021年新年伊始,比特幣迎來一輪令人瞠目結舌的上漲,吸引了全球資本市場的目光.
1900/1/1 0:00:00比特幣破4.1萬美元市值超Facebook、騰訊 BitpushNews 剛剛 25 據比推數據,市值最高的加密貨幣比特幣周五繼續高歌猛進,截止發稿時為止已經突破4.1萬美元.
1900/1/1 0:00:00過去十年,在加密貨幣礦業,誕生了太多的傳奇人物。比如,南瓜張,也就是中國礦業第一股嘉楠科技的創始人張楠賡,他以一己之力打造了世界上第一臺比特幣FPGA礦機和第一臺Asic礦機.
1900/1/1 0:00:00