道路千萬條,安全第一條,區塊鏈安全問題是一個老生常談的問題。數字錢包作為加密資產流轉、存儲的重要平臺,在區塊鏈時代一直扮演著非常重要的角色,投資者要如何安全使用去中心化錢包,如何有效規避去中心化錢包的各類風險,保護自身資產安全,是我們每一位數字資產持有者都需要關心的問題。
今天,我們很榮幸邀請到TokenPocket聯合創始人&CTO陳達做客世鏈直播間,世鏈集團運營負責人Richard擔任主持人,從各種區塊鏈項目方面臨的安全問題出發,全面剖析去中心化錢包安全,講解區塊鏈錢包安全知識!
以下為直播專訪實錄,世鏈財經編輯整理:
世鏈集團運營負責人Richard:去中心化錢包作為當前市場存儲數字貨幣的主力軍,您認為去中心化錢包主要安全風險有哪些?
TokenPocket聯合創始人&CTO陳總:根據我們近幾年從事錢包行業來看,可以把風險主要分為兩類,第一類就是助記詞和私鑰的保存出現問題,另一個就是合約交互出現問題。接下來,我會根據不同錢包來闡述這兩種類型的安全隱患。通常來說,我們會把去中心化錢包分為兩類,一類是冷錢包,一類是熱錢包。其中冷錢包可以分為紙錢包、助記詞板、硬件錢包,還有離線手機冷錢包,而熱錢包就是我們常用的手機錢包、電腦插件,還有一些網頁和客戶端的錢包。
從第一類的助記詞和私鑰的存儲安全來看,冷錢包其實可以解決一部分風險問題。因為冷錢包是全程不觸網的離線狀態,所以它的助記詞和私鑰安全可以得到很好的保障。而對于熱錢包來說,比如我們用手機錢包還有插件的話,由于它是聯網狀態,可能會被一些手機環境所影響。比如市面上很多手機APP都會讀取粘貼板,而電腦安裝的插件也會帶來相應影響。所以在熱錢包這塊,其實會比冷錢包的不觸網環境更多一些風險。
BNB Beacon Chain預計將于7月19日進行張衡升級:7月12日消息,據官方消息,BNB Beacon Chain將于區塊高度328,088,888(預計于7月19日)進行張衡升級,本次升級引入了BEP-255,將在信標鏈上實施鏈上資產對賬,以提高安全性。[2023/7/12 10:51:09]
然后是第二類的合約交互風險,比如大家經常會遇到的approve問題,就是合約交互相關的風險之一。其實從本質上來講,不管是冷錢包,還是熱錢包都會面臨合約交互相關的風險,這是無法避免的,后面我也會具體講合約交互這塊兒遇到的問題。最后還有一個比較重要的地方就是錢包來源。冷錢包可能會面臨購買渠道不安全,而熱錢包可能面臨來源風險,很多人會下載到一些盜版軟件,或者是病軟件,最終導致錢包處于被盜的狀態。
世鏈集團運營負責人Richard:近年來去中心化錢包丟幣事件頻頻發生,大多數人將焦點放在去中心化錢包的安全使用上,有些粉絲非常關心冷熱錢包的問題,對此您能深入講解下熱錢包和冷錢包的區別,以及正確使用方式嗎?
TokenPocket聯合創始人&CTO陳總:其實冷錢包可以解決部分私鑰助記詞存儲的風險,TP最開始就支持了手機的冷錢包,最近也支持了硬件的冷錢包。從冷錢包的主要用途來看,一是存儲私鑰和助記詞,二是部分用戶會通過冷錢包使用一些DeFi產品,一般情況下需要搭配熱錢包或者觀察錢包。通過觀察錢包跟冷錢包之間去交互,可以通過冷錢包去簽名這筆交易,然后通過觀察錢包掃碼的方式將這筆交易提交到鏈上。
那么使用冷錢包的話需要注意兩點,一是助記詞的備份。因為冷錢包也是需要備份助力詞,一般的話硬件錢包都會配一個助力詞卡片,或者買一個助力詞板,然后放在保險柜里,相對來說是一個比較安全的方式。二是配套錢包的使用,如果你使用冷錢包時想去進行一些DeFi操作,或者去簽名一些交易,需要保證配合冷錢包的熱錢包是一個正規或者官方的錢包。如果配套錢包出問題的話,也是會帶來風險。
StaFi發布Q3路線圖:將繼續推動LSD結構、去中心化質押、治理權分配等討論和部署:6月28日消息,DeFi協議StaFi發布2023年第三季度路線圖。Q3 StaFi將繼續推動更多關于LSD結構、去中心化質押、治理權分配以及更多與LSD相關的上升趨勢方面的討論和部署。
EVM LSD結構目前正在開發中,之前的部分代碼庫被抽象成rBNB和rMATIC解決方案。該結構將基于現有LSD解決方案的重新開發和重新部署,并將作為未來探索更多用例的基礎。[2023/6/28 22:06:09]
最后考慮到冷錢包是完全離線的狀態,可能沒辦法完全解析出來你要簽名的交易信息,有時候甚至顯示的可能是一些看不懂的16進制字符串。那么在這種情況下,我建議最好不要去簽這種交易,也就是拒絕盲簽。
世鏈集團運營負責人Richard:我們知道,中心化錢包存資產,去中心化錢包存私鑰,如何防止私鑰泄露與丟失至關重要,您認為用戶該如何保存私鑰最安全?
TokenPocket聯合創始人&CTO陳總:我舉一些反例,目前我們錢包最經常遇到的情況就是,用戶將助記詞和私鑰截圖放在手機相冊里。但其實很多APP都有相冊讀取權限,所以保存在手機里就意味著你將這張圖分享給了手機里的大部分軟件。當然不同的系統是有不同的權限,IOS可能限制會高一點。
另外還有一些情況是,用戶用手機復制助記詞私鑰被其他APP讀取粘貼板,用戶將助記詞私鑰寫在紙上遺失了,甚至有用戶讓朋友去幫忙創建錢包,然后把私鑰再給到他,導致私鑰已經是泄露狀態。這從目前被偵破的盜幣案例來看也是這樣,有很大一部分是被身邊的朋友盜取。還有一些釣魚網站騙用戶輸入助記詞和私鑰,或者是海外telegram上面假扮客服騙取助記詞和私鑰。要注意,不管是TP官方,還是其他官方,任何人都不會要你的私鑰和助記詞。
Swell Network的swETH/ETH池已上線Balancer和Aura Finance:5月9日消息,以太坊質押協議 Swell Network 的 swETH/ETH 流動性池已上線 Balancer 和基于 Balancer 的生態收益治理平臺 Aura Finance。[2023/5/9 14:51:26]
以上主要是說我們錢包用戶遇到的一些情況,下面我再介紹一下如何去保存私鑰和助記詞。首先是我自己的錢包,我會分為常用和不常用兩種,將所有資料都存在1password這種專門存儲重要信息的軟件,然后我會去做分段的復制加密,把我的助記詞分成幾段,存在不同的地方。
除此之外,我也會買一個助記詞版,如果家里有保險箱,可以將助記詞板放到保險箱里,是相對比較安全的保管方式。如果有不用的手機,也可以作為一個冷錢包來使用。或者你懂技術多一點的話,也可以去做一些加密存儲,當然大部分是沒有必要的,用之前的方式也足夠了。
現在市面上已經有一些智能錢包,還有多簽錢包。智能錢包有一些社交的恢復機制確實挺好用,但是成本可能會會大一些。如果你的資產確實很大,而且需要共同去管理的話,我覺得多簽錢包也是一個很好的方式。比如你家里有三個人,可以做一個三二的多簽錢包,每個人管一個私鑰,也就是三個人其中有兩個人的私鑰才能去管理這個資產,那如果其中有一個人的私鑰丟了,也是可以避免資產損失。
世鏈集團運營負責人Richard:除此之外,還有很多不法分子通過假空投、假APP、釣魚網站方式騙取錢包私鑰,您認為用戶該如何防騙?
TokenPocket聯合創始人&CTO陳總:其實假空投、假APP、釣魚網站正好是三種類型的盜幣方式。首先是假空投,一般都是騙取你去approve也是一種合約問題。其次是假APP,從來源上直接把手機錢包做成假的,然后讓用戶進入錢包直接被盜。最后是釣魚網站,一般也是會有approve,甚至是可讓你去輸入私鑰。我覺得最核心的問題就是私鑰這件事,除了你放錢包里,任何地方都不應該去輸入私鑰和助記詞。
推特開始取消不付費賬號藍標認證:4月21日消息,自推特身份驗證模型發生變化后,多個加密KOL和創始人的“藍標”認證被刪除,包括Ripple首席執行官Brad Garlinghouse、Tezos聯合創始人Kathleen Breitman、Shapeshift創始人Erik Vorhees、FTX創始人兼前首席執行官Sam-Bankman Fried、加密支付公司Block和前推特CEO Jack Dorsey等。不過,Coinbase首席執行官Brian Armstrong、Binance首席執行官趙長鵬、Kraken首席執行官Jesse Powell和以太坊創始人Vitalik Buterin未受影響。
據悉,推特于4月20日開始結束之前的認證系統,改采用付費訂閱制度,希望保留藍證認證的用戶必須每月8美元的費用訂閱Twitter Blue服務。(Cryptoslate)[2023/4/21 14:18:01]
尤其是假APP的問題,甚至有段時間百度搜索出現的比較知名的錢包,像TP、imtoken或者說其他錢包,連百度標志的官網都不是真正的官網。所以說這個事情很嚴重,大家還是要從多方去了解官網信息。然后假空投的話,如果是approve的情況下,其實現在很多錢包都有提示,包括像TP,你去授權一些東西的時候,它會很清晰的告訴你,你正在做一個什么樣的操作。一般正常來說,空投肯定不會讓你去做簽名操作的,一般可能輸一個地址就可以了。如果是說讓你去簽名,或者去商店就都是假的。
正好今天還遇到一件事,無聊猿官方的Instagram官方賬號被盜了,然后發了一個釣魚網站。很多無聊猿的大戶以為是官方肯定不會出問題,結果就被盜了,好像被盜了一百多只猴子。所以即使是官方,不管是郵箱或者任何渠道,我覺得大家也都要去警惕,不要輕易去相信。
LUNC已集成到Okse,可通過Apple Pay、Samsung Pay和Google Pay使用LUNC付款:10月12日消息,據Travaladd Crypto發推稱,Terra Luna Classic現已集成到Okse,用戶現在可以通過Apple Pay、Samsung Pay和Google Pay在180個國家/地區使用LUNC付款。[2022/10/12 10:32:39]
世鏈集團運營負責人Richard:TokenPocket作為全球領先的多鏈自托管去中心化錢包,您認為TokenPocket在錢包安全性上有哪些比較好的措施和手段?
TokenPocket聯合創始人&CTO陳總:我覺得最核心的一點就是,TP在一些敏感操作上會有強提醒,包括approve,轉賬,授權,簽名之類的敏感操作。目前很大一部分用戶被盜其實都是在approve這一塊,但即使是有強提醒,還是會有一些用戶不顧提醒,然后去授權一些東西,我覺得這是很頭疼的事情。
除了強提醒,我們還有一個舉報機制。當我們收到舉報后會去審核,如果發現確實有問題的,我們會拉黑處理。一般情況下,我們是根據舉報程度有不同的措施,最嚴重的話就是完全訪問不了網頁。此外,我們也會遇到一些用戶給合約轉賬,那么大部分情況下,合約其實是沒辦法把幣取出來的,所以我們在轉賬頁面會有一個檢測,提示用戶轉賬的地址是個合約,可能會出問題。
作為錢包的話,我們有冷錢包,硬件錢包,觀察錢包,插件錢包等不同類型的錢,可以滿足不同安全需求的用戶。比如不是經常操作的用戶,可以用冷錢包;想要觀察資產變化和大V動向,可以用觀察錢包,不需要導入私鑰。我們今年年初和去年年底推出了硬件錢包,適合不經常操作,然后資產比較多的用戶,會選擇硬件錢包這樣的方式。
世鏈集團運營負責人Richard:Tokenpocket與一般去中心化錢包的區別是什么?它有哪些主要功能?
TokenPocket聯合創始人&CTO陳總:因為TP初創團隊都是做技術的,所以在設計還有開發錢包的時候,可能會更加開放一些。TP錢包是最早支持這種自定義的EVM,自定義波卡的錢包。而且我們錢包對一些開發者是比較友好的,TP會支持比較多的開發協議,包括自己也有一套這種協議,同時支持Mobile?的SDK,就是手機的APP也可以通過換取TP錢包來進行一些授權,
另外我們錢包現在也支持像ERC20、NFT還有一些DeFi的信息,此外token價格更新也是比較及時的,包括各個EVM的鏈。而且我們現在也做了聚合交易,包括跨鏈和本鏈的聚合。TP最早其實也支持冷錢包,觀察錢包,包括剛才說到的一些安全方面的措施。
世鏈集團運營負責人Richard:剛才陳總也講到了無聊猿被盜事件,前段時間還出現了周杰倫的NFT被盜,目前NFT的價值在不斷被人們認可,對于NFT資產的存儲安全有沒有特別需要注意的事項?
TokenPocket聯合創始人&CTO陳總:因為NFT其實它也是一個token,也有一個類似于approve的操作,就是授權。大家在去交易的時候要注意一下,不要去執行這個setApprovalForAll的方法,它其實就是授權NFT可以給這個人用。除了這個approve的方法以外,其實還有一個風險,比如OpenSea的掛單是通過去712的簽名,它雖然不是上鏈的,但是他確實會對交易造成影響,就是先去授權給OpenSea以后,你要賣多少錢,它還有第二步的簽名,這個簽名雖然不上鏈,但確實會影響你掛單的價格。
之前我聽說過一個新聞,有人去釣魚這個簽名。而他釣魚的方式無非就是讓我去簽名,然后把無聊猿或者說NFT以一個很小的價格去掛單,然后黑客以一個很低的價格來購買,從而盜取NFT。但是在整個過程中,你并沒有去交易,而是做了一個簡單的簽名。所以大家后面去做這樣的簽名要注意一下,你簽名的內容是不是真的。
所以NFT主要就是這兩部分,一部分就是剛才說的setApprovalForAll,另外一個就是你去簽名的內容要仔細辨別,我覺得應該就沒有什么太大問題了。
世鏈集團運營負責人Richard:請問TokenPocket是否有開源計劃?預計什么時候開源?
TokenPocket聯合創始人&CTO陳總:其實TP從最開始就做了一個開源的版本,但是這個開源版本一直沒有去跟進,沒有和現有版本進行一個同步。為什么呢?因為我們考慮到,其實開源并不一定就是最好的選擇,因為開源其實是一把雙刃劍,也會帶來一些安全上的隱患。而且也降低了一些作惡的成本,像前面所提到的很多黑客會去開發盜版的手機錢包。
如果我們把版本全部開源的話,其實黑客可以很簡單地改寫兩行代碼,做出來一個跟我們錢包幾乎一樣的東西,從而達到作惡的目的。所以全部開源也是一個很危險的事情,我們采取的做法就是保留了一個比較原始的開源版本,現在也有很多開發者基于這個開源的版本做一些事。而且現在很多主流的錢包都是不開源的,即使開源也只是開源部分比較核心的東西,而不會完全把所有內容都開源出去。
世鏈集團運營負責人Richard:對于去中心化錢包未來的發展,TokenPocket有何戰略規劃?
TokenPocket聯合創始人&CTO陳總:現在主要是分成兩個維度去做一些錢包相關的事情,第一個維度在不同端做不同端的錢包,包括一開始做的手機APP,后來做的桌面錢包,然后去年和今年又分別做了硬件錢包,插件錢包。我們后面會把各個端錢包的用戶體驗以及安全都做到一個非常好的使用場景,然后給不同安全需求的用戶打造舒適的使用體驗。
另外一個維度就是接不同的公鏈,其實我們現在接的比較主流,也就是大家常用的公鏈,后期也會考慮其他公鏈。比如最近推特的事情,可能我們也會考慮去接狗狗幣這類型的公鏈。最后的話,其實我們現在也在做一些鏈上協議的建設,包括孵化了一個聚合閃兌的協議,一個社交協議,以及后面我們也會在NFT相關領域做一些鏈上產品。
世鏈集團運營負責人Richard:非常感謝陳總的干貨分享,讓我們又重新學習了一遍區塊鏈安全知識。確實如陳總所說,去中心化錢包安全風險主要是錢包的來源和錢包使用的環境,大家一定要找官網渠道安全下載,切勿相信不明來源鏈接,也不要和任何人分享私鑰、助記詞。總之安全是前提,希望未來大家都能夠安全使用去中心化錢包,保護自己的資產。
賬戶里最多時近一千萬元的資產,在短短3天之內幾乎歸零。今年35歲的程序員郭瑞度過了自己人生中最灰暗的一周。他向公司請了一周假,每天無法入睡,只有在妻子的逼迫下才能吃上一點食物.
1900/1/1 0:00:00「Harry大財主的每周二更新33#」2022-04-26TombTuesday更新33#TombTuesday快樂.
1900/1/1 0:00:00元宇宙敘事作為人類想象力的天花板,它是由人類利用各種科技手段創造出來的與現實宇宙映射與交互的虛擬宇宙,而它自然會是包羅萬象的,在我看來.
1900/1/1 0:00:00盡管加密貨幣市場普遍出現虧損,但以太坊鯨魚一直忙于以今年1月以來前所未有的速度購買和出售以太坊.
1900/1/1 0:00:00編譯|白澤研究院 上周,領先的數字資產管理公司Arca的首席投資官JeffDorman做客了DeCentialMedia的播客節目.
1900/1/1 0:00:00加密資產市場在過去一年的快速增長離不開傳統支付巨頭們的助攻。擁有3.77億用戶的Paypal已經為美國和英國的用戶開放了交易和持有比特幣、以太坊、比特現金和萊特幣功能,同時支持用戶使用這些加密資.
1900/1/1 0:00:00