比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ICP > Info

觀點 | 硬件錢包的開源并不代表錢包升級,而是一次重大的安全妥協_加密貨幣

Author:

Time:1900/1/1 0:00:00

來源:Medium_Cobo官博

編譯:頭等倉

編者注:原標題為《觀點:硬件錢包應該開源嗎?》

作為開源軟件的熱情倡導者,我們非常尊重那些將他們的工作分享給全世界的先驅開發者,毫無疑問,我們身處加密貨幣領域要感謝區塊鏈技術的創始人。正是因為中本聰和其他偉大的開拓者將他們的工作開源,我們才得以收獲Linux、比特幣和蓬勃發展的加密貨幣市場等令人驚嘆的創新所帶來的收益。

但是,當涉及到使源代碼可用對硬件錢包的安全性是否有利時,我們進入了一個全新的討論。本文解釋了我們為什么認為開放源代碼的本質并不代表硬件錢包的升級,而是一次重大的安全性妥協。

觀點:XRP不應被歸類為證券:7月10日消息,XRP支持者、律師John E Deaton對美國SEC和Ripple之間的訴訟表示樂觀。Deaton認為,該案的主審法官Torres將在即將進行的簡易判決中充分解決XRP是否屬于證券的問題。

Deaton近日發推稱,XRP不應被歸類為證券,并將其與各種資產進行比較來支持自己的立場。他還預計Torres法官將解決XRP二級市場銷售相關的問題。Torres法官的裁決結果可能會對加密貨幣行業產生重大影響。[2023/7/10 10:12:17]

了解開源的好處

在傳統的計算領域中,開源支持者一直強調一個觀點——開源是更安全的,因為它使公眾能夠檢查源代碼并通過幫助修復潛在漏洞來提高安全性。Linus定律,通過統計數據清楚地顯示了:對閉源的Safari瀏覽器的零日攻擊平均需要9天才能修復,而對開源的Firefox瀏覽器的零日攻擊平均只需要1天就能修復。

觀點:機構資金可能會推動比特幣價格在一年內漲到25萬美元:Real Vision Group&Global Macro Investor創始人兼首席執行官Raoul Pal認為,比特幣價格到2021年11月可能達到15萬美元,這是最保守的估計。Pal認為,由于目前有大量機構資金流入比特幣市場,比特幣甚至可能達到25萬美元。

Pal認為,這讓比特幣的最新漲勢與2017年的加密貨幣泡沫截然不同。人們認為,2017年的泡沫主要是由散戶推動的。據Pal稱,比特幣的大部分額外供應目前正被最近采用加密服務的PayPal、Square和Grayscale吸收了。他認為,由此造成的供應緊張是比特幣近期飆升的催化劑。“我從未見過供需如此失衡的市場。”他指出,宏觀經濟因素對比特幣有利。

盡管新冠病疫苗的消息引發了經濟快速復蘇的希望,但各國政府可能需要出臺額外的貨幣刺激措施來維持經濟。Pal認為這將導致法幣貶值。他認為,再加上低利率,將推動比特幣價格再創新高。“這是改變人生的。沒有其他資產能在短時間內上漲5倍、10倍、20倍。”(Cointelegraph)[2020/11/28 22:25:14]

但是,必須在特定情境中理解Linus定律,即傳統的計算機領域。在討論開源軟件在硬件錢包方面的優勢時,我們必須謹記的事實是,與硬件錢包開發相比,傳統的計算機開發社區規模巨大。

觀點:支持比特幣將使PayPal為CBDC做好準備:根據多位金融科技專家的說法,PayPal支持比特幣支付可能無助于將現有加密貨幣從其利基市場中撤出,因為比特幣持有人經常將其視為類似于黃金的投資資產,而不是一種支出手段。專家說,PayPal的決定可能有助于該公司在競爭日益激烈的數字支付領域吸引新用戶,在這種競爭中,創新至關重要。這也有可能使該公司為主流數字貨幣的出現做好準備,例如由中央銀行開發的數字貨幣。其他專家認為,這種關聯可能會使PayPal比加密貨幣受益更多。實際上,在計劃公布后,該公司的股票上漲了5%以上。(路透社)[2020/10/23]

GitHub是全球最大的源代碼托管者,它表明最大的硬件錢包品牌Trezor的開源代碼只有大約180個貢獻者。這一統計數據與RaspberryPi等其他硬件產品的社區形成了鮮明的對比,樹莓派的開源固件貢獻者大約有9500人。

BigONE VP:尊重每個人的觀點,有碰撞也是好事情:據悉,幣格 BigONE 旗下欄目“ONE 如初見”于今天下午 15:00 進行第一期直播。

直播由幣格 BigONE Marketing VP 如初主持,講述幣格的故事,就幣格的產品和動態與大家進行了互動。并表示幣格新團隊從 2019 年 3 月新組建以來,已經補齊了幣格的產品線,今年幣格先后上線杠桿、合約和借貸等產品,未來近一步做用戶服務。

另外,如初在直播過程中針對今天 CZ 在與李笑來的觀點碰撞中提到的“BigONE 沒做起來”做出了回應。表示尊重每個人的觀點,有碰撞也是好事情,幣格只做自己該做的事情,絕對不可能“做不起來”,我們很好,感謝友商關心。幣格 BigONE 不只有數字資產安全。[2020/6/1]

無論項目多大,都無法完全避免暴露其代碼的潛在危險。以LinuxMint為例,它在2016年被黑客入侵。盡管該后門問題在一天內得到解決,但其快速響應時間在很大程度上是由于Linux開源社區的規模。

觀點:IEO本身并不壞,但必須制定適當的規則:SMC.Capital合伙人Mik Mironov在接受采訪時表示:“我不認為IEO已經死了,也不認為IEO本身很壞。眾籌在大多數主要經濟體仍然活躍,所以這種融資方式應該對投資者開放。然而,我們認為需要有公平的做法,行業必須制定適當的規則,以確保不會出現任何像我們以前在這么多IEO中看到的那種瘋狂的傾銷行為。我們確實需要這種融資方式,我希望這種方式能夠繼續下去,希望交易所能夠對項目提供公平的對待,確保只有最好的項目才有機會通過這種方式籌集資金。”(BeInCrypto)[2020/4/28]

在我們的開發社區相對較小的情況下,我們需要特別注意以下事實:共享源代碼是一把雙刃劍。不幸的是,對于硬件錢包而言,發布源代碼可使黑客更容易檢測到漏洞并進行攻擊。開源代碼甚至可以為網絡犯罪分子敞開大門,制造能夠欺騙消費者的假冒硬件錢包——Trezor已經成為其受害者。

零日攻擊的風險增加

安全硬件錢包所有者需要注意的一個安全問題就是零日攻擊。在零日攻擊中,從暴露或宣布先前未知的漏洞到修復漏洞之間的時間段為黑客提供了進行攻擊的絕佳機會。由于硬件錢包中的漏洞通常是通過固件升級來解決的,所以通常需要一段時間,在正式的安全補丁發布后,用戶才能真正安裝并修復問題。有些用戶在設置好硬件錢包后,幾個月甚至幾年都不打開它,這大大增加了零日攻擊的風險。對于具有開放源代碼軟件開發經驗的人來說,也許覺得有悖常理,黑盒子或帶有閉源代碼的設備比帶有開源代碼的白盒子更安全。

硬件錢包用戶在更新固件之前,無法免受零日攻擊。

心理安慰還是實際利益?

雖然我們很容易將比特幣作為開源代碼提供安全性的一個主要實例,但是假設所有區塊鏈項目都應效仿并成為開源代碼是一個合理的。比特幣從其開源開發社區獲得的安全性是其社區規模參與的直接結果。無論是源代碼還是挖礦能力,比特幣社區都參與了項目的維護和保護,涉及到很多的安全功能。然而,由于目前涉及硬件錢包安全性的開發人員相對較少,因此我們無法對共享源代碼帶來的好處做出任何假設。

除了大量增加檢查代碼的審閱者之外,傳統計算領域中開源代碼開發的另一個好處是,任何人都可以自己下載,安裝,刻錄,調試甚至刪除源代碼的某些方面。

這種程度的自治所帶來的安全性依賴于特定技術的基礎。然而,即使有堅實的技術基礎,安全措施仍有被超越的潛力。那些在計算機領域工作的人應該很熟悉KenThompsonHack(KTH)是如何在C編譯器中創建后門的,它可以監視或控制世界上任何軟件程序。您必須使用二進制代碼編寫自己的編譯器,或者使用在安裝KTH之前已編譯的工具,才能克服這種安全隱患。KTH證明,從源代碼編譯的任何系統總是容易受到攻擊。

像KenThompson這樣的專業人士告訴我們,除非您能夠自己編寫編譯器,否則您將不得不信任第三方。除了不得不編譯自己的編譯器之外,大多數硬件錢包用戶甚至都不會費力刻錄或調試源代碼。對于這一類用戶來說,知道他們的硬件錢包是開源的,更多的是一種心理安慰,而不是實際上可以使他們的錢包的安全性得到顯著改善。

二維碼簽名輸出的“可審查性”

在傳統的計算領域,它有助于將開源軟件帶來的安全性視為對源代碼的一種“審查”。雖然這種情況還不適用于冷庫加密貨幣安全,但有什么可以替代硬件錢包作為可靠的“審計”來源呢?

幸運的是,經過簽名的交易輸出并不像其他類型的軟件輸出那樣復雜。如果提供源代碼不是審計硬件錢包的最安全選擇,我們可以考慮仔細檢查其交易簽名輸出。

人們購買硬件錢包是因為他們知道存儲私鑰的最安全方法是將其離線放入冷存儲器中。所有硬件錢包服務都需要一種在離線存儲和在線終端之間進行通信的方式。冷端負責存儲私鑰和簽署交易,而熱端則需要從區塊鏈獲取數據,為冷庫端構建簽名交易并將簽名的交易廣播到區塊鏈

在傳輸簽名輸出時,大多數冷存儲硬件都使用數據線,藍牙甚至NFC。由于其數據傳輸的不透明性,這些方法使簽名輸出極難審核。冷庫硬件通信的一種被忽略的方法是二維碼,這是一種“所見即所得”的解決方案。我們認為二維碼是在冷端和熱端之間傳輸數據的理想方法,因為二維碼輸出的數據是透明的。這使用戶可以輕松地確保傳輸到冷存儲設備的每個未簽名交易都是有效的,并確保來自冷端的簽名輸出不會以任何方式泄露私鑰或敏感信息。

結論

我們認為開源對于增強硬件錢包的安全性沒有多大意義,只是開源可以使用戶能夠看到隨機數是由真隨機數生成器(TRNG)生成的,還是由偽隨機數生成器生成的。

轉載請保留版權信息。

Tags:比特幣PAL加密貨幣ONE比特幣今日行情實時價格走勢圖PALS加密貨幣存在的意義coinone交易所下載

ICP
以太坊2.0短期無望,出乎意料的復雜性可能會使“全面上線”延遲數年_ETH

以太坊正在取得進展,但是完整的ETH2.0版本的時間表并沒有接近。根據最近的官方博客文章,我們可以預計“在全面推出“以太坊2.0”之前還需要很多年.

1900/1/1 0:00:00
智能合約能脫離區塊鏈而存在嗎?標普全球公司的答案是YES_區塊鏈

智能合約能否在沒有區塊鏈的環境下使用呢?這是Quora平臺上有人提出的一個問題,而在相關答案當中,約有一半的回答是肯定的,而另一半則表示兩者無法分離.

1900/1/1 0:00:00
對誤導性信息“say no”,想雙花比特幣非常困難_比特幣

專注于BitcoinCash的公司BitcoinBCH最近發布了一段視頻,該視頻可能會誤導用戶認為比特幣的雙花可以輕而易舉的實現.

1900/1/1 0:00:00
潘超:DeFi 治理常見的 4 個錯誤指控_Maker

整理:Ruby 來源:?DAOStep 這次在?DAOFest上海,我們有幸請到了MakerDAO中國區負責人潘超分享他對Defi治理的認知.

1900/1/1 0:00:00
李禮輝:中國在法定數字貨幣的研發上處于領先地位_人工智能

本文來源:鳳凰網財經《啟談》 作者:徐彩月 區塊鏈站上風口,央行數字貨幣蓄勢待發。10月24日,中共中央局會議強調區塊鏈作為核心技術突破口在改善民生、智慧城市、促進信息與資金互聯互通上具有重.

1900/1/1 0:00:00
研報 | 全球央行數字貨幣最新進展_BDC

Overview概述 隨著消費者支付習慣的改變,現金的存在作用在不斷弱化。無現金交易將成為下一個支付前沿。目前多國央行在籌備發行數字貨幣,數字貨幣的穩定性和安全性,是各國央行研發的重中之重.

1900/1/1 0:00:00
ads