12月21日,黑客网站Raidforums公开了从硬件钱包制造商Ledger中窃取的100多万封客户电子邮件。Ledger随后表示“确实可能是我们2020年6月电子商务数据库的内容”。
硬件钱包尽管主打安全牌,但是硬件钱包漏洞和丢币事件却也从未销声匿迹。随着比特币逼近30000美元,用户继续安全的地方来存储自己的比特币,而硬件钱包真的安全吗?
12月30日,周三,下午2:00,HolderWallet负责人、巴比特UED总监阿本、库神钱包商务VP吴美霖做客链节点进行AMA,教你如何选择一款适合自己的硬件钱包。
以下是本场AMA的精彩部分:
硬件钱包采用开源普通芯片Vs.和安全芯片问题,哪个更重要些?
阿本:
开源不等于安全,开源只是自证清白的手段。在硬件钱包都属于完全隔绝网络的情况下,其实主要考虑的是如何不被「物理攻破」从而获取钱包里的私钥。在「物理攻破」层面,采用安全芯片会更加安全。
《创智赢家》投资人Kevin O'Leary:LedgerX因监管成为唯一没有归零的 FTX 相关实体:金色财经报道,创投节目《创智赢家》明星投资人凯文·奥利里 (Kevin O'Leary) 在出席美国参议院银行、住房和城市事务委员会《加密货币崩溃:为什么 FTX 泡沫破灭以及对消费者的伤害》听证会时强调了加密监管,他表示 LedgerX 是唯一没有归零的 FTX 相关实体,因为该衍生品交易平台受到美国商品期货交易委员会监管。不过凯文·奥利里在听证会上抨击了 CZ,声称加密货币交易所 Binance “故意”造成 FTX 破产。(decrypt)[2022/12/15 21:46:04]
打个比方,如果硬件钱包是我们为用户搭建的「私人金库」,开源应用层代码其实是把「金库图纸」交给所有人,从而告诉你们该金库并没有保留用户所不知道的「后门」,但同时增加了不法之徒想要通过图纸了解金库结构从而采用其他方式进入金库的可能性。而安全芯片可以理解为「私人金库」里为你量身定做的军工级「保险箱」,里面存储着你的「私钥」,这样哪怕黑客进入了你的私人金库,但是没有保险箱的密码,他也永远拿不走你的「私钥」。
长期持有(hodled)或已丢失的比特币数量约占总量的33.96%:据glassnode数据,长期持有(hodled)或已丢失的比特币数量达到了7,131,084.104枚,约占总量的33.96%,为近五个月高点,该部分Token可视作退出流通。 ???? ???(U.Today)[2021/8/22 22:29:16]
所以其实在「金库图纸」都公布的情况下,采用「安全芯片」相当于给用户在「私人金库」里再加了一个经过计算机安全国际标准认证的「保险箱」,成本虽然高了,但是更安全了。
吴美霖:
安全芯片和钱包开源是不能兼顾的,目前库神钱包也是因为我们使用的是安全芯片,而安全芯片提供的算法致使我们无法开源。安全芯片和普通芯片的差别还是很大的。我们都在说数字货币加密,而加密算法背后最重要的核心就是随机数。安全芯片可以生成真随机数,随机性大于非安全芯片生成的伪随机数。所以我们权衡利弊的时候,一定要保留安全芯片。
Spacemesh开放测试网Tweedledee无法使用:以色列区块链初创公司Spacemesh发推称,开放测试网Tweedledee无法使用。团队仍在调查原因,并将努力尽快让其恢复。[2021/2/21 17:36:51]
开源=绝对去信任?你手上的硬件钱包的代码真的是厂商说的代码吗?
吴美霖:
开源与不开源决定不了钱包的安全性,开源就是把代码公开,更透明一些,至于代码以及到手的硬件钱包是否采用的源代码用户是不得而知的,除非像你说的那样把硬件拆下来拿去反编译一下。对没有过硬技术的普通用户来说,还是选择靠谱的品牌钱包比较重要。
4.HolderWallet的双芯片架构智能硬件钱包,是否可以理解同时具备智能钱包和硬件钱包的优点?智能硬件钱包会是以后钱包的方向吗?
阿本:
HolderWallet采用双芯片架构,「安全芯片」保障私钥的安全,「AI芯片」优化产品体验产品,所以同时兼顾了安全和智能。
动态 | Hyperledger发布Fabric区块链软件的2.0版本:金色财经报道,Hyperledger Foundation已发布其开源分布式分类帐(DLT)平台Hyperledger Fabric的第二个版本。2.0版引入了新功能,包括在需要了解基础上的智能合约的去中心化管理和数据隐私。除此之外,新版本还添加了用于安装和启动链码的新管理过程,在需要了解的基础上实现数据保密。除此之外,新版本还涵盖了新的外部链码启动器,新的共识型Raft以及各种性能改进。[2020/1/31]
我认为以后的硬件钱包能做更多事情,而不仅仅是「存储」,所以我们称HolderWallet为「第一款智能硬件钱包」,再加上今年Defi的爆发作为契机,以后的智能硬件钱包会有更多可能性。
DeFi保险类COVER最近被黑客侵入,价格甚至一度归零。硬件钱包如何解决这类问题?
阿本:
COVER这个案例特别典型,它的代码就是全开源的,但正是因为开源,让黑客发现了它的漏洞,从而铸造了基本无限量的COVER代币,这就是为什么「开源不等于安全,开源只是自证清白的手段」。
动态 | 创企Adhara从摩根大通Quorum项目转向Hyperledger的公链项目Besu:区块链初创公司Adhara近期正在从摩根大通的区块链项目Quorum转向Hyperledger的公链项目Besu。在此之前,Adhara的联合创始人Peter Munnings也是Consensys团队的成员,该团队曾与新加坡金融管理局对Quorum进行了测试。对此,Munnings解释称,Besu有非常严格的企业级支持协议,很容易访问。相比之下,Quorum团队则非常关注摩根大通的项目,所以我们没有从他们那里得到同等的回应。Quorum的受欢迎程度让摩根大通大吃一惊,而且经常有传言称,摩根大通正在分拆Quorum平台。在项目支持问题上,接近摩根大通Quorum工程团队的消息人士称,Adhara决定向Hyperledger寻求更多帮助是\"合理的\"。其还表示,Quorum工程团队与负责管理JPM Coin和IIN等业务的用例团队之间存在“明显的分离”。构建Besu的团队Pegasys战略和业务发展负责人Faisal Khan表示,许多人虽然与Quorum建立了试点,但同时他们也在测试Besu,以便可以进行比较。而Besu最大的卖点是它与以太坊的兼容性。(CoinDesk)[2019/10/28]
而HolderWallet采用的「双芯片架构」分工明确:「AI智能芯片」负责应用层的逻辑交互,而「安全芯片」只负责生成并存储用户的「私钥」以及在使用过程中的「签名」,而CCEAL6+是由国际权威机构认证的安全级别,保障了私钥的生成过程足够随机、「存储」及「签名」的方式足够安全。
CC是指信息技术安全评估标准,这是基于计算机安全认证的国际标准,而EAL是经过CC标准评估后给出的安全级别,目前共有1-7级,越高越安全。到目前为止,HolderWallet采用的CCEAL6+安全芯片已经是业内最高标准,达到了军工级别。
安全芯片提供了增强型的安全特性,支持电气环境监测,可对抗功耗分析和故障注入等。具备安全芯片隔离区内生成密钥树种子,加密存储私钥,隔离区离线签名;具备防暴力撞击和暴力自毁保护,防供应链攻击、女佣攻击和字典攻击,防系统漏洞和中间人攻击。
芯片内置了物理真随机发生器,通过采集量子随机运动状态生成无规律的真随机数,摒弃一切软件钱包依赖的伪随机函数和算法,真正做到去伪存真,让规律碰撞攻击无从下手。
硬件钱包性价比本来就不高,安全芯片更是推高了成本。即便有硬件钱包,总还要把助记词备份在卡片上吧,明文卡片助记词,也存在像硬件钱包一样被盗的概率吧,就像木桶定律,安全的最大短板不是卡片上备份的助记词吗?安全芯片在性价比综合考虑下真的有那么必要吗?
吴美霖:
安全芯片的作用是安全合成以及储存私钥,以及保证密码的随机性,是重中之重。所以安全芯片是大前提,当然助记词也要好好保管。
阿本:
1、增加安全芯片确实会提升硬件钱包成本,但我认为硬件钱包的本质就是「最大限度地保障用户私钥安全」,所以在这个前提下,这些成本物超所值。
2、「助记词」确实是最核心需要用户保护的「阿喀琉斯之踵」,所以我一直认为其实保护好自己的数字资产不是一个「安全问题」,而是一个「社会工程学问题」,我们能够保证存储在HolderWallet里的「私钥」绝对安全,但是保管好「助记词」这件事,需要用户层面加以更多关注。核心理念就像三体里所说的「藏好自己,做好清理」。
事物发展的方向永远都是化繁为,市面上也出现了软件冷钱包,比如Ownbit和ParitySigner这种,便宜,安全级别类似且可实现更复杂的功能,比如多签冷钱包。硬件钱包未来需要如何发展才能保持市场竞争力?
阿本:
每种钱包都有自己的特定用户,确实并非所有用户都需要考虑使用硬件钱包,在自身「安全意识」足够健壮的情况下,任何方式都可能是一个好方法,哪怕只是一张纸:
而硬件钱包HolderWallet实际上是希望能够帮助那些自身「安全意识」不那么健壮,或者是希望自己资产得到「最大限度安全保障」的用户存储他们的私钥。
而要得到「最大限度安全保障」,光靠软件是不够的,还需要底层硬件做支撑,这是硬件钱包的根本,像您说的,「事物发展的方向永远都是化繁为简」,在安全这层,我们希望尽量恒定所有「繁杂的变量」,才能把安全做到「极致地简单」。
最近BTC价格创新高,为币圈吸引了一大批新人。小白用户该如何存储数字资产?硬件钱包是不是门槛太高了?
吴美霖:
很多人都说我是新人没必要了解钱包或者用不到钱包,其实安全对于我们来说从来都不分金额大小,积小成多,每一步资金的积累都离不开安全的防护。我给大家的建议是在买币之前一定要先了解行业的发展及储存数字资产的工具,这样有了币才能留住币,才算是把钱牢牢地抓在自己手里。
阿本:
正好相反,硬件钱包作为一个「存储数字资产」的工具而言,它的门槛并不高。因为核心流程就是生成私钥——备份助记词——然后把资产转账给您在硬件中生成的钱包地址里,不用担心是否因为联网被人盗取私钥,不用担心是否把资产存在交易所会出现第二个「门头沟事件」。
而您唯一要做的,就是「藏好自己,做好清理」,做时间的朋友。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。