首页 > 区块链 > 关键词 > 加密钱包最新资讯 > 正文

加密钱包安全操作不规范,倾家荡产只需5分钟 : 资深从业者的建议一定要听

2019-07-18 17:25 · 稿源:白话区块链公众号

来源 | 白话区块链(ID:hellobtc)

最近,关于加密货币钱包的安全事件不断出现在媒体上:

7 月 10 日,硬件钱包 Trezor 被曝仅用 5 分钟即可提取出密钥种子,且漏洞无法通过补丁修复。7 月 12 日, Dash 官方推特发布警告,称钱包 My Dash Wallet 出现漏洞。据此前消息,有用户反馈称价值数百万人民币的 Dash 币遭恶意窃取。

加密资产的安全一直是重中之重,然而很多用户的安全意识薄弱,对钱包的相关知识知之甚少。

今天,白话区块链文字采访了比太钱包创始人比特派钱包开发者文浩和 imToken 中国区运营负责人 Simon ,以便能从更多角度帮助大家了解加密资产钱包这方面的问题。

01 Trezor 和 Dash 钱包有何安全问题?

比特派:首先,Trezor 没出安全问题,My Dash Wallet 是出了安全问题,这不是一回事。

先说下 My Dash Wallet ,我们从 2014 年开始就建议用户尽量不要使用网页钱包,因为网页钱包的安全天花板最低,浏览器插件、恶意代码注入、钓鱼链接等等对于网页钱包都是致命的,当然还包括不安全的随机数环境My Dash Wallet  只不过是又给网页钱包糟糕的安全记录和丢币历史里增加新的一个案例而已。

而 Trezor 的事情是另一回事,在过去一段时间 Ledger 一直用一个所谓的 Ledger 安全实验室的名义来发布文章攻击 Trezor 的安全性,但其实对于 Ledger 的攻击,Trezor 早在几个月前就已经做过正面并且清楚的回复了,前几天再次传播的报道其实仍然是几个月前的内容,并没什么新鲜的。

对于硬件钱包来说,100% 做到绝对防范物理攻击是不可能的,大家只能努力增加物理攻击的难度罢了。

硬件钱包的真正目的是要做到冷钱包,预防一个远在天涯海角的黑客通过互联网把你的币转走。如果您希望连物理攻击都能防御,使用密码账户就好了,这样即便是攻击者抢走了你的硬件钱包,没有密码也没有用。

imToken:关于 Trezor 钱包,它使用的是单片机结构,类似一台微型服务器,是通过程序来控制访问私钥的权限,所以存在被绕过和利用的可能。比如程序逻辑漏洞或者一定情况下的内存读取等,核心来讲还是要使用安全存储级别更高的加密芯片来保障访问及使用的安全。

对于 My Dash Wallet ,这次的问题大致是使用的 Script 脚本被恶意篡改,导致用户私钥传输到了黑客的服务器上,而且受影响的时间长达两个月,给用户资产安全带来很重大的影响。

关于在线的网页钱包,有太多可能被攻击的方面,比如类似之前 My Ether Wallet 因为 DNS 解析污染导致用户访问了黑客构造的恶意脚本,还有就是大量依赖的第三方程序出现漏洞,或者自身服务器被攻击等都会出现安全问题。

所以,一般的钱包安全等级是:网页钱包< App钱包 < 硬件钱包。当然具体还要看开发和运营的项目方对安全的维护能力及重视程度。

02 钱包使用如何降低门槛?

比特派:说到钱包的门槛,助记词是绕不过去的,无论如何用户都需要自行保管助记词,想绕开这一门槛的用户就把币留在交易平台,尽量留在较大的交易平台里,风险会小一些。区块链历史上交易平台跑路的案例太多了,所以请自行评估相关风险。

当前的主流钱包已经在尽可能地降低用户的门槛了,如果真能保管好 12 个助记词,后续的钱包操作其实就已经很小白化了。

imToken:数字钱包的使用门槛主要还是在私钥备份及存储这一层面,其实包括以太坊社区,很多技术开发者都在关注这一问题。像多签钱包,EOS 的多账户+私钥权重,主账户+子账户等,都是在对如何更安全的使用私钥进行探索,让私钥管理的容错性更高一些。但目前私钥依然存在,并且需要直接暴露给用户,由用户进行最终的存储和管理。所以这个门槛没有实质性的降低。

我们认为钱包的终极形态即是人链交互系统,将人与区块链无缝的进行融合。

03 如何安排钱包和交易平台的存放比例?

imToken安全策略是因人而异和灵活的。对于大多数用户而言,需要频繁操作的资产可以放在交易平台。如果想长期持有某些Token,还是建议购买一款硬件钱包。

比特派:50% 以上、不用来交易或很少使用的 Token,应该存在冷钱包里; 20% - 30% 日常使用的 Token 可以放在热钱包;20% - 30% 甚至更多需要用来交易的 Token 存在交易平台里。

04 挑选钱包时需要考虑哪些因素?

imToken:现在的数字钱包如雨后春笋一般,品质也参差不齐,近两年市场上更是出现了一大批资金盘钱包和 CX 钱包,像  PlusToken 、MGC 等。我认为用户在选择钱包时候应该注意以下几点:

首先,选择品牌影响力和口碑俱佳的钱包。用户选择使用第三方提供的钱包,最重要的就是信任这个工具,用户可以在选择钱包之前进行一些调研,选择用户量多,市场存在时间长,没有发生过安全问题的钱包。

其次,选择可以离线生成并管理私钥的钱包,即可以作为冷钱包使用的钱包。我觉得这点比钱包开源还要重要,因为钱包开源也会存在一些问题,比如真正的产品发布所使用的代码是不是和开源代码完全一致,有没有将用户的私钥上传到自己的服务器等等。如果用户将手机网络关闭,依然能够生成钱包,那么可以证明该钱包不是通过钱包商服务器生成的。同时,用户也可以通过手机代理的方式来查看网络请求,看看是否有传输密钥的情况。

最后,用户可以关注一下开源钱包。对于开源这件事,大家要客观看待,因为开源≠安全。开源和安全应该是一个相互促进的关系,代码开源后,可以得到更多优秀开发者的关注,自然能够提高安全等级。

比特派大额冷存储必须用开源的冷钱包和硬件钱包。日常使用的钱包应该考虑的是有着良好的安全口碑,并且有着非常有实力且能保持着良好迭代速度的团队所开发的钱包。

05 操作钱包时有哪些注意事项?

imToken:我之前有提出一个「钱包安全 10 不原则」基本上很好的覆盖了用户在使用钱包时需要注意的事项:

1.不使用未备份的钱包 2.不使用邮件传输或存储私钥 3.不使用微信收藏或云备份存储私钥 4.不要截屏或拍照保存私钥 5.不使用微信、QQ 传输私钥 6.不要将私钥告诉身边的人 7.不要将私钥发送到群里 8.不使用第三方提供的未知来源钱包应用 9.不使用他人提供的 Apple ID 10.不要将私钥导入未知的第三方网站

用户资产被盗的事件起因五花八门,有使用不安全钱包导致资产丢失的,当然更多的是因为自身管理储存私钥不当。比较常见的被盗情况就是“监守自盗”这种类型,比如和身边的朋友、合伙人共同管理一把私钥,或者不小心将私钥泄露给身边的人,因为区块链具有匿名性,所以很容易出现这种情况。

用户要时刻意识到,私钥要自己保管,不要告诉任何人,也不要通过任何即时通讯软件传播。

 比特派:助记词的保管是最重要的,因为不恰当地保管助记词所导致的丢币和币被盗实在是太多了。

06 如何挑选硬件钱包?

比特派:挑选硬件钱包有几大要素:1.开源;2.有屏幕;3.能一直保持良好迭代的钱包团队;4.架构合理,价格也合理。

imToken:硬件钱包的普及率还是比较低的,绝大多数用户对硬件钱包不甚了解。但我建议,大额资产还是使用硬件钱包进行存储。

在建议用户选择硬件钱包这方面,一定要选择有较高等级安全芯片的硬件钱包。因为市面上有些硬件钱包依然是建立在安卓系统上的,即便是采用开源代码,也会存在较大的安全隐患,因为硬件钱包是软件和硬件的结合,软件层面没问题,不代表硬件层面不会出现问题。

关于开源的问题,我上边也谈到了开源≠安全,有个蛮有趣的问题可以思考一下:是闭源的苹果系统安全,还是开源的安卓系统安全?

我认为,一些场景下闭源反而会增大黑客攻击的难度。

07 如何识别诈骗钱包?

imToken超高收益和拉人头等具有明显 CX 和资金盘行为的项目,都需要引起用户注意。

其实,用户不是无法辨别什么是资金盘钱包,而是被高利益吸引,失去了理智。imToken 之前在曝光 MGC 钱包的时候,有很多用户和我们说:我知道 MGC 是骗子项目,但是只要让更多人上当受骗,我就可以赚钱,你们这样曝光,就没有人上当了,我就要亏钱了。

所以,这不是如何帮助用户识别骗局的问题,而是人性的问题。庞氏骗局存在整整100 年了,依然屡试不爽。还是希望用户能够理智一些,天上是不会掉馅饼的。

比特派:高利息的肯定是诈骗。钱包是用户自己保管私钥,私钥本身又没有高利息,如果公链有着 Staking 模型那当然是另一回事。所以,诈骗肯定是一眼就能看出来的。

08 PoS 区块链节点是否会成为钱包发展方向?

比特派:新公链一般都是 PoS 模型,也就会有 Staking 的收益和相关机制,而新公链在设计这块的时候,都会做成是钱包(而不是交易平台)的场景。

我们已经开始为用户提供 Staking 服务了,这块的布局对我们来说是很自然的一件事情,未来主要的 Sktaing 公链我们都会提供一键 Staking 的服务,让用户更方便地使用相关功能。

imToken:我觉得钱包是 Staking 的天然平台,可以和 PoS 进行完美的融合。这会是钱包未来的一个重要业务。

我们团队也很关注 Staking 经济的发展,第一时间支持 Cosmos 公链和 ATOM 的 Staking 服务。同样,我们也对波卡等社区热门的优质项目保持关注,会在第一时间支持这些项目。

  • 相关推荐
  • 大家在看
  • OKEx早报:报告称全球有超过1亿人持有加密货币

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递9月25日讯,昨天BTC收涨,涨幅0.89%,尾盘1小时内拉涨近300美元。通过OKEx平台交易数据可以看出,今日早间行情相对企稳,BTC开盘报10544.4美元,随后在10600—10700美元区间震荡,6:51短时触及早间高点10797.8美元,当前在10700美元附近盘整。截至发稿,BTC暂报10715.62美元。据OKEx交易大?

  • KuCoin遭大规模黑客攻击 价值1.5亿美元加密货币被盗

    新加坡加密货币交易所KuCoin今天披露了一次大规模黑客攻击。该公司在网站上发布的一份声明证实,一名攻击者破坏了其系统,并清空了其热门钱包中的所有资金。

  • 加密货币投资平台Robinhood近2000账户遭黑客攻击

    在最近一次窃取客户资金的黑客攻击中,Robinhood Markets 近 2000 个账户遭到破坏,这一迹象表明,黑客攻击比以往任何时候都更加广泛。

  • Zoom推出数据加密功能与新活动平台

    10月16日消息,据国外媒体报道,视频通信公司Zoom将很快推出端对端加密视频服务,以兑现其今年早些时候做出的关于改善用户安全和隐私的承诺。Zoom该功能将在下周的预览中亮相,这一加密技术将向所有免费和付费用户提供,用户可以按照需求选择是否启用。端对端加密通过扰乱视频和音频的方式,阻止了其他人,甚至是Zoom平台本身读取相关数据。也就是说会议数据在进行传输之前就已经在用户的设备上进行了加密,意味着数据

  • OKEx早报:荷兰央行批准首个加密服务

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递10月9日讯,昨天BTC收涨,涨幅2.48%,尾盘在10900美元附近调整。通过OKEx平台交易数据可以看出,今日早间行情横盘震荡,BTC开盘报10893.8美元,随后在10900美元附近整理,当前略有回落,暂报10892.75美元。据OKEx交易大数据显示,BTC合约多空持仓人数比为0.83,市场做空人数占优;BTC合约持?

  • 为什么Alchemy Pay可以成为加密支付的基础设施?

    2020 年 9 月 7 日晚,火币首发了Alchemy Pay的代币ACH,并将其作为火币交易平台首个HT平台币DeFi挖矿的项目,那天下午,半个区块链圈子都被ACH刷屏,晚间火币开盘最高达到了私募价格的 6 倍,抹茶交易平台更是最高达到了私募价格 13 倍左右。因为Alchemy Pay的主要客户面向B端,所以大多数币圈用户并不了解它。打开Alchemy的官网,主页面赫然一句:Alchemy是亚太地区领先的数字货币支付解决方案和技术提供商,为线上和线下商户提?

  • 深入解析Lua脚本加密技术,给游戏代码加上“紧箍咒”

    不少安全专家表示,在互联网上失去对代码的控制,就像把银行的设计图交给抢劫犯一样。Lua是一种被广泛用于游戏开发中的计算机语言,方便开发者定制自己所需的功能。其中,红遍全球的《愤怒的小鸟》就是由Lua语言用Wax开发的。此外,梦幻西游、奇迹暖暖、开心消消乐、放置奇兵、最强蜗牛等手游也采用了Lua语言进行编写。近年来,Lua脚本在游戏行业长期流行,但Lua脚本泄露事件屡见不鲜,其安全性也引起关注。不法分子通过开私服、开

  • Zoom推出最强数据加密与新活动平台 下周开始正式向用户提供

    据外媒报道,本周三,Zoom公司宣布推出最强端对端数据加密功能,从而确保用户会议的安全。该公司表示,这一功能将于下周一正式向所有免费和付费用户提供,用户可自由选择是否启用。此外,Zoom还推出了一个名为 OnZoom 的活动平台,用户可以在这个平台上举办免费、付费或募捐活动,该平台还集成了付费系统,并于本周三向部分用户开放公测。疫情期间,Zoom因人们被迫待在家中而新增了大量用户,?

  • OKEx情报局:灰度以太坊信托获SEC批准,对加密市场有何影响?

    10月12日晚间,全球最大的加密资产管理公司灰度投资(Grayscale Investments)宣布,灰度以太坊信托产品(ETHE)的注册声明已正式生效,成为美国证券交易委员会(SEC)的报告公司。1、灰度以太坊信托(ETHE)是什么?灰度以太坊信托基金(ETHE)是一个可公开交易的投资工具,由以太坊支持、灰度投资公司(Digital Currency Group 旗下子公司)推出并运营。信托(投资信托)是拥有固定数量的给定资产(如黄金、比特币或以太坊)的公

  • 华为钱包 9.0.10 新增“Huawei Card”

    DoNews 9月28日消息(记者 刘文轩)“Huawei Card”一直被视为一款向苹果 Apple Card“致敬”的产品,如今,Huawei Card 已经正式上线。用户更新华为钱包现到 9.0.10 版本即可使用。Huawei Card 是华为今年 4 月发布 P40 系列时推出的信用卡,是华为与银联及合作银行推出的一款产品,具有数字、实体双卡等特性,高度集成 Huawei Pay。根据华为官方信息,Huawei Card 权益包括免年费、笔笔返现等。不过目前,消费返现场景仅限于中国

  • OKEx早报:今年三季度近9亿美元风险投资流向加密公司

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递10月19日讯,昨天BTC收涨,涨幅1.01%,尾盘在11400美元上方调整。通过OKEx平台交易数据可以看出,今日早间行情缓慢上行,BTC开盘报11446.4美元,短暂横盘后震荡拉升,最高点触及11536美元,当前略有回落。截止发稿,BTC暂报11474.66美元。据OKEx交易大数据显示,BTC合约多空持仓人数比为0.83

  • 深圳匀思:“小电商”推动“大产业”,电商让农民的钱包鼓了起来

    匀思电子商务有限公司了解到, 2019 年全国电子商务服务平台交易额已达34. 81 万亿元。截至 2020 年 6 月,中国网民规模达9. 40 亿,较 2020 年 3 月增长 3625 万,互联网普及率达67.0%。据不完全统计, 2019 年社交电商从业规模达 4800 万人,从业人数同比增长58%;今年上半年互联网数据服务收入同比增长44.3%。势头迅猛的电商新业态正引领整个电商行业走向更蓬勃的发展阶段,电商在未来几年将保持较高的增长态势。 “小电商”推?

  • OKEx情报局:豪掷5000万美金买比特币,支付巨头Square的加密之旅

    10月8日,Twitter CEO Jack Dorsey(杰克·多西)创立的支付公司Square宣布,已用5000万美元购买了4709枚比特币(即平均每枚比特币10,600美元)。截至2020年第二季度,这笔投资几乎占该公司总资产的1%。受此消息的影响,比特币价格迅速拉升,突破10900美元,上涨超2.3%。与此同时,截至美东时间10月8日16时,Square公司股票(SQ)周四午盘上涨2.3%,收盘于183.5美元。1、Square的加密之旅Square是美国一家移动支付公司,由Twitter

  • 解决场景化分期需求 全民钱包打造口碑式成长

    金融科技产业与场景生态的深入融合将产生叠加效应,促使金融更加亲民,也让更多长尾用户能够获得更实在的便利和优惠。全民钱包推出分期消费商城,利用科技力量赋能,以技术、场景和资金优势塑造了良好的分期购物服务口碑。围绕用户消费需求精进服务能力,全民钱包打造了高品质的分期购物体验。全民钱包商城精选优质的爆款单品,拓宽商品体系,让消费者都有机会体验到当季热销的商品,多方位满足用户数码、时尚、家居等消费需求,加快提高居?

  • 微信钱包功能升级,不输卡号就能绑定银行卡

    一直以来,一张银行卡要绑到自己的微信有一个比较烦人的问题是,必须提供银行卡号,而大多数小伙伴根本记不住 16 位银行卡卡号。

  • 苹果推出watchOS 7.0.1正式版 修复钱包付款卡被停用问题

    今日凌晨,苹果正式向用户推出了watchOS 7.0.1 正式版,在该版本中,苹果修复了部分用户的 “钱包”中某些付款卡被停用的问题。

  • 微博钱包推出“微博花花金”服务 定位服务优质用户

    9 月 23 日,经过近半年的筹备,微博钱包全新消费金融服务产品“微博花花金”今日正式上线,用户点击微博钱包-花花金入口即可体验。作为微博推出的首个循环额度产品,此次产品的最大特色是可以支持按日计息,随借随还,日利率最低至万三,个人最高授信额度为 20 万元,主要面向微博内的活跃优质客群。近年来,用户对于金融服务产品体验感的要求日渐提升,对于相关产品提出了更高要求。作为最具影响力的中文社交媒体,微博一直致力?

  • 钱包要撑住 LG的65寸可弯曲OLED电视预订:售价可达1亿韩元

    OLED电视已经成为高端电视的新宠儿,在大屏OLED面板上LG很有优势,而且这一次他们已经开始玩可弯曲OLED电视了,目前65寸的可弯曲OLED电视OLED TV RX已经开始预订,价格可能高达1亿韩元。OLED电

    LG
  • 火币晚报:美国货币监理署和SEC首次发布稳定币指南

    行情分析BTC日内缩量横盘,震荡行情持续根据火币交易平台数据显示,比特币日内缩量横盘。行情持续在10450一线横盘。日内外部市场还在消化昨日的下跌行情。技术形态来看,目前行情放量下跌之后持续缩量横盘,属于空方下行的最强形态。多方的抵抗很弱,目前市场仍不能确认筑底。近期比特币市场并不是行业内的焦点,因此总需要一些外部因素的契机行情才会出现波动。短期内月底期权市场未交割量达到新高,目前价格已经回归最大痛点。市

  • OKEx早报:美国多家地区性联邦储备银行正在研究央行数字货币

    OKEx早报将在每日早间为您带来最新的行情,以及相关行业动态。帮助投资人在最短的时间内了解夜间的动态消息,更好的握把每日行情。行情速递9月24日讯,昨天BTC收跌,跌幅0.01%,尾盘在10450美元附近调整。通过OKEx平台交易数据可以看出,今日早间行情下行,BTC开盘报10452.3美元,短时拉升后震荡回落,最低跌至10138.1美元,当前略有反弹,暂报10298.39美元。据OKEx交易大数据显示,BTC合约多空持仓人数比为0.79,市场做空人数占优

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签