私钥迷云:你在交易所/钱包/DeFi里的币,到底是在谁手里?_Origo:OGO

编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。问个问题,在币圈的你,你的币在哪里?在交易所里?在自己的钱包里?在中心化钱包里?在某样理财钱包里?在DeFi里借贷?在挖矿?还是在哪呢。这几天出的事情让很多人瞬间开始学习“私钥”、“多签”等相关知识,因为他们不知道,为什么他们的币提不了了,什么时候能提呢?并且看到了这么一个截图,看来很多人对他们放币的冷钱包,还是知之甚少呀:

所以还是回到我们的主题上来,除了币在自己掌握私钥的钱包里的朋友,其他的朋友们,你们真的知道你们的币在哪里吗?接下来我们好好聊聊这事儿,分不同情况聊聊。一、币在交易所里

神鱼:中心化Staking机构需复审下私钥保管及有权限人员状态,制定紧急事件预案:金色财经报道,Cobo联合创始人兼CEO神鱼发推表示,伴随着上海升级的临近,对于机构,尤其是提供中心化staking的机构,需要reviewer下私钥保管方式及相关有权限的人员状态,检查下服务器日志,监控后续提现状态,制定紧急事件预案。[2023/4/9 13:52:56]

这应该是目前最为主流的情况了,我个人除了冷钱包之外,也有许多币在交易所里,可能是做一些投资,做一些理财,做一些套利对冲之类的,总之,交易所里完全没币也不可能。那么我们放在交易所里的币,到底在哪里?一般来讲,交易所的钱包分成热钱包和冷钱包,热钱包一般由“钱包组”管理,处理日常的提现,这里一般有个团队负责,大部分金额也不大,动用不到冷钱包,每天做个统计就完事儿。最核心的还是在于冷钱包,也就是交易所帮用户保管加密资产的地方,类似于区块链世界的“银行地底下仓库的保险柜”,那么谁掌握这个保险柜的密码呢?

安全公司:Brinc Finance私钥泄露导致被攻击:据成都链安链必应-区块链安全态势感知平台舆情监测显示,Brinc Finance项目方疑似私钥泄露导致被攻击,导致损失290个ETH(约110多万美元)。成都链安技术团队通过分析发现攻击者通过权限转移函数获取了合约的owner权限,之后通过合约里rescueTokens函数提取了14,308,348抵押代币(BRC)和3,202,933奖励代币(gBRC),之后通过swap兑换为290个ETH。成都链安在此总结:1. rescueTokens函数存在权限过大,一般来讲这个函数应该只能提取误发送到合约里的其他代币,不可提取抵押代币和奖励代币。2. 项目方需要妥善保管私钥,防止泄露。[2021/12/14 7:39:03]

弦冰科技何剑虹:使用MPC多签钱包时私钥分片只存在于用户本地,不存储在任何平台以及其它地方:12 月 30 日,在慢雾科技主办的“Hacking Time 区块链安全攻防峰会”上,弦冰科技首席科学家何剑虹分享了弦冰团队在可信计算和安全多方计算领域的研究报告,并展示了弦冰科研实验室的落地成果,一款基于安全多方签名算法所实现的MPC多签钱包。

何剑虹指出,使用MPC多签钱包的各个用户,基于MPC协议,分布式的生成自己的私钥分片,并保存在本地。当需要签名的时候,满足门限的多个用户,基于MPC协议,协同计算完成交易签名。完整的私钥分片在任何时间,任何地点从来都没有出现过。私钥分片只存在于用户本地,不存储在任何平台以及其它地方。[2020/12/30 16:05:25]

这个密码其实就是能给交易签名的私钥,一般我们说的“多签”就是多人持有“保险柜的密码”,得一块儿签名同意了,才能打开,光靠一个人是打不开的。所以你的币可能并不在一个人手里,成熟的交易所,都是多签。多签有多种形式,可能是五个人持有私钥,其中3个人签名就可以提。大概是这样,人可能更多,可能更少,逻辑是这么个逻辑。这也是为什么之前bitmexCTO被捕,他们依然能够提现的原因。

Origo向去中心化自治转移,基金会将不持有非团队持有的OGO代币私钥:隐私项目Origo基金会今日发布博客称,为了实现真正的去中心化,将把权利转移至社区,并将其作为一个社区驱动平台,向去中心化自治组织Origo DAO转移。Origo DAO的原则如下:

1. 除了社区和代币购买者之前同意的团队和顾问部分之外,任何中心化的组织或者团体都不应该控制任何OGO代币专用密钥,也不应该控制OGO代币的分发;

2. 任何中心化的一方都不应控制Origo网络社区聊天、群组等;

3. 任何中心化的一方也都不应该控制Origo的代码开发。因为开放源代码应该由社区的每个成员共享、创建、编辑和开发。

在不久的将来,在Origo的DAO结构上将采取以下步骤:

1. 在与主网代币交换相关的额外开发者奖励计划中,Origo将可以使用生态系统和基金会储备代币,上限1000万OGO代币;

2. 销毁额外的OGO代币;3. 社区经理志愿者选举;

4. 销毁团队和顾问部分的ERC 20 OGO。

在采取上述措施之后,Origo基金会将没有任何非团队Origo代币的私有密钥,并且在代币分发中不涉及人工操作。Origo基金会将朝着真正的去中心化方向发展。[2020/4/17]

所以放交易所里,你的币在谁手里?最核心还是在于大老板,其次是一些有权力的高管。大部分交易所都会分散开持有私钥的高管们,尽量在不同国家/地区,避免同时被不可抗力影响,导致交易所无法正常运营。当然,除了避免外部风险之外,也得避免某个人想把交易所资产一股脑卷走的风险。所以币放交易所里的朋友,最核心的是几个高管,你们得天天祈祷他们别出啥事儿。二、在钱包里

钱包分成中心化钱包--就是“云端钱包”、“在线钱包”之类的,还有去中心化钱包--冷钱包、硬件钱包之类。冷钱包自然不用多说,自己保管私钥。那么云端钱包呢?就是你注册个账号密码就可以用的那种钱包,私钥又在谁手上呢?当然其实也显而易见了,就是钱包运营方手上。一般优质的在线钱包能提供更加好的体验,不用一个币一个钱包,一个账户一网打尽:

而且转账需要的不是私钥签名,而是手机验证码、谷歌验证码、人脸识别等,也让更多朋友用起来更舒服,不用担心丢私钥。但是有好处自然有坏处,坏处就是这些币事实上并不在你的“钱包”里,你看到的只是一个“凭证”而已,与交易所给你的无异。你的币,依然是躺在钱包自己家的冷钱包里。和交易所一样,如果你使用的是在线/云端钱包的话,那么你也得祈祷钱包运营方几个管冷钱包私钥的大佬们平平安安,顺顺利利吧。三、在合约里

其实不管你参与了DeFi哪个环节,是借贷、稳定币还是挖矿还是机池还是等等等等之类的项目,你的币大概都在一个地方,叫“智能合约”。你以为你的币已经“去中心化”了,但是殊不知,其实合约背后,也是私钥。

你的币在合约里,理论上合约开源没啥问题的话,转入转出都是OK的,但是智能合约这种东西,也是有私钥的,能从合约里取币的。所谓“留后门”,就是这么个操作。所以当你参与到去中心化世界里,把币交给合约的时候,不妨先看看是哪些地址在控制着合约背后的私钥。总之,我们可以相信自己,我们可以相信代码,其他的,还是需要慎重的。最后还是那句话,投资一定不要把钱都放在一个篮子里,不管是币圈也好,圈外也好,都是一样。要你本金的投资,一直也在不断发生着。

祝大家好运。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-0:915ms