怎么保護我們的加密資產？_BEAM

最近業內最受關注的安全方面的新聞恐怕就是Solana錢包Slope出現了安全漏洞。

據目前的信息，在這次事故中，有大概9000多個錢包受到牽連，這些錢包持有者大概被盜了超過400萬美元的資產。

這次安全事故是怎么發生的呢？其最根本的原因還是在錢包對密鑰的處理上出現了問題。

人們發現當用戶使用Slope錢包的移動版產生地址時，地址對應的私鑰被發送到了Slope的服務器Sentry上，并且是被明文直接發送到服務器的。

灰度GBTC為2023年Q2 ARK表現最好的ETF之一:金色財經報道，根據ARK于7月19日發布的最新季度ETF報告，GBTC是其ARK Next Generation Internet交易所交易基金(ARKW)第二季度成功的主要貢獻者之一。數據顯示，GBTC是ARKW第二季度增長超過9%的五大驅動力之一，其他表現出色的還有特斯拉、Shopify、Unity Software和Draftkings。該文件指出，排名第五的Grayscale占ARKW的108個基點，而排名第一的特斯拉占232個基點。

今年迄今為止，ARKW是ARK運營的主要ETF之一，截至6月30日，該基金上漲了約50%。ARKW致力于獲取基于互聯網的產品和服務、云計算、人工智能和電子商務，第二季度，ARKW擁有近20%的云計算相關資產，約19%的區塊鏈相關資產。

盡管GBTC在2023年第二季度是ARKW的最佳表現，但就ARKW的資產配置數量而言，該資產落后于Coinbase。Grayscale的持股比例幾乎與ARKW持有的特斯拉相當，略高于7.5%，而Coinbase是最大的配置資產，占比近9%。[2023/7/20 11:07:26]

這種做法本身就存在兩大致命問題：

英國金融行為監管局：FTX可能未經授權提供金融服務或產品:金色財經報道，據英國監管機構金融行為監管局（FCA）官方網站，該監管機構已發布公開警告稱，加密貨幣交易所 FTX 可能未經授權在該國提供金融服務或產品。英國監管機構金融行為監管局表示，使用 FTX 服務的投資者將無法使用金融申訴專員服務或受到英國金融服務補償計劃 (FSCS) 的保護，因此如果出現問題，不太可能拿回自己的錢。[2022/9/19 7:05:47]

第一，敏感信息的通信一般都需要經過加密后才能傳輸。

Arrington Capital為Moonbeam生態系統推出1億美元的成長基金:金色財經報道，管理超過16億美元的加密投資公司Arrington Capital與Moonbeam基金會合作，為Polkadot的 EVM 兼容 Moonbeam 平行鏈設立了一個新的 1 億美元生態系統基金。Arrington Moonbeam 增長基金將為 Moonbeam 網絡上的新公司和協議提供資金，針對廣泛的垂直領域，包括DeFi市場、NFT和游戲。該基金已經為兩個未披露的項目部署了資金。

Moonbeam 于 1 月啟動，目前有 100 個項目正在運行或準備啟動。據該網絡稱，在前五個月，Moonbeam 用戶完成了超過 650 萬筆交易，開發人員部署了超過 5,000 個智能合約。

上個月，該公司從其網站上清理了一個新的 1 億美元基金，該基金與 Terra 收益生成協議 Anchor 相關，該協議因受危機影響的美元穩定幣而遭受重大損失。Arrington表示，移除是由于需求減少。（Coindesk）[2022/6/9 4:12:12]

第二，照理說錢包的私鑰應該只在用戶手里，而不應該被傳送到第三方設備上。

所以當Slope以這樣的方式外泄用戶的錢包密鑰時就為后來的悲劇留下了致命的隱患。

而接下來便是Sentry服務器被黑客攻破，導致服務器上存儲的所有這些用戶的私鑰被全部竊取。這樣黑客便開始挨個盜取用戶錢包中的資產。

在這場重大事故中，目前暫未發現硬件錢包受影響。

在這個事故中，我認為最根本的要害是錢包的私鑰在產生時就被外泄了。

通常，還有一種更為普遍的錢包被盜的方式就是用戶安裝錢包的設備不安全，使得當該設備在聯網時黑客能夠通過互聯網掃描設備上的信息，盜取錢包的私鑰或者助記詞，從而盜取錢包中的資產。

從這些場景中我們發現，無論采取什么方式，設備的聯網是錢包助記詞或者密鑰被盜的一個必備條件。如果設備不聯網，則黑客再有本事，也無法通過盜取私鑰或者助記詞盜取用戶的資產。

而這一點恰恰就是硬件冷錢包保證資產安全的根本。

一個符合標準或者正規廠家生產的硬件冷錢包一定是隔離互聯網的。

一般說來，硬件冷錢包產生錢包地址和密鑰是在斷網的情況下產生。這就保證黑客無法通過網絡聯網到設備直接盜取密鑰。

另外當用戶需要用硬件冷錢包發送資產到其它地址時，硬件冷錢包也是在斷網的情況下用私鑰對交易進行簽名，然后再將簽過名的信息傳送到聯網設備，由聯網設備將交易進行廣播并完成的。在這里，設備在使用私鑰時也是在斷網的情況下完成，這也保證了黑客無法通過網絡竊取私鑰。

縱觀硬件冷錢包的使用過程，我們發現，但凡出現私鑰或者使用私鑰的場景都是在斷網的情況下完成，所以這從根本上斷絕了黑客盜取私鑰的途徑，從而保證了硬件冷錢包的安全。

因此，一般來說，我們可以仔細觀察市面上較為知名的硬件冷錢包廠商。如果某個廠商出品較久，并且一直以來沒有出現過安全事故，那么大概率這個廠商出品的硬件冷錢包就是比較安全和可靠的。

我們就可以比較放心地選擇這個廠商的產品。

這次Slope安全事故對我們普通用戶最大的教訓恐怕還是我曾經反復提及的：那就是我們需要一個硬件冷錢包。我們需要將大部分平時不用來交易的資產存儲到這個冷錢包里。

來源：金色財經

Tags：ARKBEAMMOONMOODarkPayCoinYFMoonBeamMOONCAT幣FASTMOON

AAVE