這兩天硬件冷錢包廠商 Ledger 的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據,我的名字和信息也赫然在列!很顯然,數據泄漏對用戶造成了利益侵害,然而我覺得更加值得探討是硬件錢包方向的問題。
之前,我也使用 Ledger。后來,因為看到硬件冷錢包的種種缺點,以及軟件冷錢包的興起,才毅然決定做 Ownbit 軟件冷錢包。
軟件冷錢包
不同于硬件冷錢包,軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機,其中一部永久離線,作為冷錢包存儲私鑰(助記詞)。另一部聯網,作為觀察錢包使用。
軟件冷錢包和硬件冷錢包實現同樣的功能,安全級別類似。但是它們有一些顯著的區別:
詐騙者郵寄虛假的硬件錢包給Ledger數據泄露受害者:硬件錢包制造商Ledger重大數據泄露的影響仍在持續。Reddit上r/ledgerwallet論壇的一名投稿人以“u/jjrand”為標簽發帖,自稱是受此次數據泄漏影響的投稿人之一,他發布了從郵件中收到的貌似是假的Ledger Nano X錢包的圖片。盡管包裹在看似真實的包裝中,但該設備仍包含幾個引起該網友懷疑的跡象。
最讓人吃驚的是,包裹里還附有一封寫得很糟糕的信,聲稱是Ledger首席執行官Pascal Gauthier的簽名,信中告訴收信人:“出于安全考慮,我們給你發了一個新設備。為了保證安全,你必須換一個新設備。”安全研究員 Mike Grover表示,這個假設備被篡改了。根據分析,這次騙局似乎是為了攔截用戶輸入的恢復短語,以便將細節轉移到一個由詐騙者控制的設備上,然后他們可以用它來竊取相關的加密貨幣資產。(Cointelegraph)[2021/6/17 23:45:01]
軟件冷錢包可以使用閑置手機,沒有額外的硬件;
BlockFi稱再次遭受數據泄露,客戶資金未受損失:加密貨幣貸款機構BlockFi周二早上向客戶發出數據泄露警報。?首席執行官扎克?普林斯(Zac Prince)證實,這起泄露事件發生在5月14日,影響了該公司不到一半的零售客戶和機構客戶。客戶的賬戶活動信息、電子郵件地址和郵政地址均已泄露,但是社會保險號碼、執照和政府簽發的身份證的圖片均未被曝光。該公司表示,這一事件持續了“大約一小時”,并未影響客戶資金。(TheBlock)[2020/5/19]
硬件冷錢包通過數據線或藍牙傳輸數據,而軟件冷錢包通過掃描二維碼;
可信任的助記詞
軟件冷錢包可以實現更徹底的去信任(即不需要信任軟件開發者),用戶可以自行證明其錢包的絕對安全性。
動態 | 慢霧區塊鏈攻防對抗總結:11 月數據泄露趨勢愈發普遍:據慢霧 BTI 系統監測發現,暗網中陸續出現區塊鏈相關的數據泄露情報,包括:GateHub 140 萬用戶信息、數字貨幣交易所用戶信息等,此前 BitMex 也因工作失誤導致大量用戶郵箱信息泄露。11 月另一個重大安全事件是韓國交易所 Upbit 被黑導致 34.2 萬 ETH 從熱錢包中被盜,慢霧安全團隊懷疑該事件可能和 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。
過去數月,慢霧 BTI 系統還曾披露假充值漏洞攻擊、供應鏈攻擊、提幣地址劫持替換攻擊等,慢霧安全團隊在此提醒各項目方,做好安全漏洞自查,進一步增強人員安全意識及平臺風控體系,必要時可聯系專業的區塊鏈安全公司尋求幫助,避免遭受損失。(IMEOS)[2019/12/1]
在資產安全中,首當其沖的是助記詞的安全。而在助記詞的安全中,首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商(或者有bug)的硬件錢包,您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的,是預先生成的,或者是假隨機的。
動態 | 華住數據泄露案嫌疑人被逮捕:據彭博社消息,華住更新數據泄露案調查情況,逮捕企圖在暗網出售數據的嫌疑人,嫌疑人的數據銷售未遂。此前有媒體報道華住旗下多個連鎖酒店1.3億用戶數據遭泄露,標價8個比特幣。[2018/9/17]
硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任,而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。
在使用軟件冷錢包時,你可選擇信任軟件,讓其幫助您生成助記詞。也可以選擇不信任軟件,自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線,不存在向互聯網傳輸數據的可能(唯一的交互是通過二維碼掃描和觀察錢包之間進行明文傳輸,可審查),所以助記詞的安全性得到了絕對的保障。
因此,軟件冷錢包的助記詞的安全性高于硬件冷錢包。
藍牙 vs 二維碼傳輸
硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言,硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。
藍牙傳輸方案的優點是:數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限,對于有較大數據傳輸的場景,該缺點顯得尤為突出。例如:較大的比特幣交易(UTXO數量龐大)。
藍牙傳輸方案的缺點是:安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug,在特定場景下,可能存在安全隱患。另一點是,藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內(10米內),通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里,是完全不存在的。
藍牙傳輸的另一個弱點是:可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容,以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任,即用戶可以在數據傳輸層面確保其私鑰(助記詞)不受泄漏,而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。
經濟性和靈活性
軟件冷錢包可以使用閑置的手機作為冷錢包存儲,而無需購買額外的硬件。因此更加經濟。
更重要的是,軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能,例如:多簽冷錢包。
軟件冷錢包的靈活性,也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞,需要購買(同一廠商)的硬件,進行硬件恢復。而使用軟件冷錢包,則沒有這樣的顧慮。
封閉和開放
軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式,可以在更廣泛的范圍內定義標準,實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。
兩種方案的錢包生態
目前市場上,雖然主要的冷錢包產品依然是以硬件冷錢包為主,但是它們正在受到軟件冷錢包的沖擊。
硬件冷錢包:
Ledger 是最知名的硬件冷錢包方案提供商;
Trezor 是另一個知名的硬件冷錢包提供商;
軟件冷錢包:
Ownbit 是最早實現軟件冷錢包方案的錢包,也是支持冷錢包幣種最多的錢包之一;
Parity Signer 是 Parity 出品的以太坊軟件冷錢包;
未來
事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。
就像大部分人不需要額外的硬件來進行閱讀(電子書),因為手機本身也可以進行閱讀。用更加常見的設備(手機)來替代專業的硬件是必然的趨勢!因為它們在功能上類似,甚至更加優秀!
原標題:硬件冷錢包向左,軟件冷錢包向右
Tags:LEDEDGEGERDGEledger錢包官網地址HedgePayTiger BabyPower Ledger
在2020年5月,以太坊網絡上出現了所謂的 “黑色星期四”:以太坊變得過于擁擠,以至于MakerDAO無法按照預期進行工作.
1900/1/1 0:00:00算法穩定幣投資怪圈:我看好你,是因為你是穩定幣,但我投你卻是因為你不穩定。穩定幣作為區塊鏈去中心化金融(DeFi)的運行基礎,一直是大家關注的賽道,顧名思義就是價值穩定的幣,比如最熟知的USDT.
1900/1/1 0:00:00原標題:連通公鏈和聯盟鏈的研究 摘要 本文研究公鏈和聯盟鏈之間進行連通的進展。隨著越來越多的企業開始嘗試使用聯盟鏈,未來聯盟鏈和公鏈之間、以及不同的聯盟鏈之間存在很大的連通需求.
1900/1/1 0:00:00在17000至18000美元間波動了5天后,比特幣于12月13日重新站上19000美元。OKEx上,當日,BTC的24小時最高價達19381美元,恰巧和11月24日首破今年19000美元關口時的.
1900/1/1 0:00:00根據FinCEN(美國金融犯罪執法網絡)現有規定,金融機構禁止向無家可歸、沒有固定住所的人和難民提供開戶服務,因為這些人沒有實體郵寄地址.
1900/1/1 0:00:00?2020 年下半年,數字貨幣市場迎來了空前的繁榮,Compound“流動性挖礦”的推出,促使DeFi(去中心化金融)大爆發。隨后以太坊2.0信標鏈主網正式啟動,為市場帶來了更加廣闊的想象空間.
1900/1/1 0:00:00