12月21日,黑客網站Raidforums公開了從硬件錢包制造商Ledger中竊取的100多萬封客戶電子郵件。Ledger隨后表示“確實可能是我們2020年6月電子商務數據庫的內容”。
硬件錢包盡管主打安全牌,但是硬件錢包漏洞和丟幣事件卻也從未銷聲匿跡。隨著比特幣逼近30000美元,用戶繼續安全的地方來存儲自己的比特幣,而硬件錢包真的安全嗎?
12月30日,周三,下午2:00,HolderWallet負責人、巴比特UED總監阿本、庫神錢包商務VP吳美霖做客鏈節點進行AMA,教你如何選擇一款適合自己的硬件錢包。
以下是本場AMA的精彩部分:
硬件錢包采用開源普通芯片Vs.和安全芯片問題,哪個更重要些?
阿本:
開源不等于安全,開源只是自證清白的手段。在硬件錢包都屬于完全隔絕網絡的情況下,其實主要考慮的是如何不被「物理攻破」從而獲取錢包里的私鑰。在「物理攻破」層面,采用安全芯片會更加安全。
Ledger副總裁:Ledger芯片無法實現完全開源,但用戶可自行運行Recover協議:5月17日消息,硬件錢包制造商Ledger副總裁Nicolas Bacca在社交媒體發文表示,Ledger芯片無法實現完全開源,我們已經開源了所有的應用程序,但是我們可以改進控制板和操作系統(Recover的部分功能就屬于這兩部分)。目前最簡單的方法是讓用戶自己運行Recover協議,而設計時已考慮到了這一點。此前報道,硬件錢包Ledger推出基于ID的密鑰恢復服務Ledger Recover,引部分用戶反對。[2023/5/17 15:07:18]
打個比方,如果硬件錢包是我們為用戶搭建的「私人金庫」,開源應用層代碼其實是把「金庫圖紙」交給所有人,從而告訴你們該金庫并沒有保留用戶所不知道的「后門」,但同時增加了不法之徒想要通過圖紙了解金庫結構從而采用其他方式進入金庫的可能性。而安全芯片可以理解為「私人金庫」里為你量身定做的軍工級「保險箱」,里面存儲著你的「私鑰」,這樣哪怕黑客進入了你的私人金庫,但是沒有保險箱的密碼,他也永遠拿不走你的「私鑰」。
FTX破產法官批準將LedgerX出售給M7 Holdings的動議:金色財經報道,在美國特拉華州破產法院于 5 月 4 日舉行的聽證會上,法官 John Dorsey批準了 FTX 債務人于 4 月提出的將 LedgerX 出售給Miami International Holdings子公司 M7 Holdings 的動議,FTX在達成購買協議時表示,交易總收益約為 5000 萬美元,破產法庭尚未對多家媒體要求其公開某些 FTX 客戶身份的動議做出裁決。
FTX US 于 2021 年 8 月購買了 LedgerX。在一次探討FTX倒閉的國會聽證會上,商品和期貨交易委員會主席 Rostin Behnam 曾表示,與其他 FTX 實體相比,LedgerX 是“健康的”、“有償付能力的”和“可操作的”。[2023/5/5 14:43:46]
所以其實在「金庫圖紙」都公布的情況下,采用「安全芯片」相當于給用戶在「私人金庫」里再加了一個經過計算機安全國際標準認證的「保險箱」,成本雖然高了,但是更安全了。
Ledger宣布Ledger Connect Web3瀏覽器將于2023年推出:金色財經報道,硬件錢包Ledger宣布Ledger Connect Web3瀏覽器將于2023年推出,新瀏覽器擴展程序將可以通過藍牙連接到用戶的Ledger設備。只要攜帶硬件錢包才能使用它。更重要的是,當瀏覽您最喜愛的Web3網站和應用程序時,Connect在后臺運行。?
此外,當用戶想購買 NFT 時,連接窗口會彈出并顯示要購買的東西。Ledger的API對產品進行檢查。反過來,用戶對他們購買的商品和價格有了更大的確定性。不僅如此,用戶可以選擇進行購買的設備和帳戶,以及將其存儲在哪個錢包中。[2022/12/10 21:34:59]
吳美霖:
安全芯片和錢包開源是不能兼顧的,目前庫神錢包也是因為我們使用的是安全芯片,而安全芯片提供的算法致使我們無法開源。安全芯片和普通芯片的差別還是很大的。我們都在說數字貨幣加密,而加密算法背后最重要的核心就是隨機數。安全芯片可以生成真隨機數,隨機性大于非安全芯片生成的偽隨機數。所以我們權衡利弊的時候,一定要保留安全芯片。
Ripple欲聘請專家調查XRP Ledger中的異常活動:Ripple希望聘請專家來調查和監控XRP Ledger,并探查可疑活動。據一份招聘信息顯示,Ripple新上任的調查分析師將加入該公司的銀行保密法(BSA)合規團隊。除其他職責外,該分析師將被要求“找出任何現有的差距,并提出建議,以加強可疑活動報告程序和其他(反洗錢)相關控制”。該分析師還將對XRP Ledger進行日常監控,進行交易分析,并向監管和執法機構提交相關報告。(The Daily Hodl)[2020/9/5]
開源=絕對去信任?你手上的硬件錢包的代碼真的是廠商說的代碼嗎?
吳美霖:
開源與不開源決定不了錢包的安全性,開源就是把代碼公開,更透明一些,至于代碼以及到手的硬件錢包是否采用的源代碼用戶是不得而知的,除非像你說的那樣把硬件拆下來拿去反編譯一下。對沒有過硬技術的普通用戶來說,還是選擇靠譜的品牌錢包比較重要。
動態 | 區塊鏈軟件公司將其基礎架構從Hyperledger 改為Corda:據coindesk消息,區塊鏈軟件開發公司MonetaGo決定將其基礎架構從Hyperledger Fabric改為R3的Corda平臺。目前,Hyperledger拒絕就MonetaGo改變平臺一事做出回應。[2019/2/27]
4.HolderWallet的雙芯片架構智能硬件錢包,是否可以理解同時具備智能錢包和硬件錢包的優點?智能硬件錢包會是以后錢包的方向嗎?
阿本:
HolderWallet采用雙芯片架構,「安全芯片」保障私鑰的安全,「AI芯片」優化產品體驗產品,所以同時兼顧了安全和智能。
我認為以后的硬件錢包能做更多事情,而不僅僅是「存儲」,所以我們稱HolderWallet為「第一款智能硬件錢包」,再加上今年Defi的爆發作為契機,以后的智能硬件錢包會有更多可能性。
DeFi保險類COVER最近被黑客侵入,價格甚至一度歸零。硬件錢包如何解決這類問題?
阿本:
COVER這個案例特別典型,它的代碼就是全開源的,但正是因為開源,讓黑客發現了它的漏洞,從而鑄造了基本無限量的COVER代幣,這就是為什么「開源不等于安全,開源只是自證清白的手段」。
而HolderWallet采用的「雙芯片架構」分工明確:「AI智能芯片」負責應用層的邏輯交互,而「安全芯片」只負責生成并存儲用戶的「私鑰」以及在使用過程中的「簽名」,而CCEAL6+是由國際權威機構認證的安全級別,保障了私鑰的生成過程足夠隨機、「存儲」及「簽名」的方式足夠安全。
CC是指信息技術安全評估標準,這是基于計算機安全認證的國際標準,而EAL是經過CC標準評估后給出的安全級別,目前共有1-7級,越高越安全。到目前為止,HolderWallet采用的CCEAL6+安全芯片已經是業內最高標準,達到了軍工級別。
安全芯片提供了增強型的安全特性,支持電氣環境監測,可對抗功耗分析和故障注入等。具備安全芯片隔離區內生成密鑰樹種子,加密存儲私鑰,隔離區離線簽名;具備防暴力撞擊和暴力自毀保護,防供應鏈攻擊、女傭攻擊和字典攻擊,防系統漏洞和中間人攻擊。
芯片內置了物理真隨機發生器,通過采集量子隨機運動狀態生成無規律的真隨機數,摒棄一切軟件錢包依賴的偽隨機函數和算法,真正做到去偽存真,讓規律碰撞攻擊無從下手。
硬件錢包性價比本來就不高,安全芯片更是推高了成本。即便有硬件錢包,總還要把助記詞備份在卡片上吧,明文卡片助記詞,也存在像硬件錢包一樣被盜的概率吧,就像木桶定律,安全的最大短板不是卡片上備份的助記詞嗎?安全芯片在性價比綜合考慮下真的有那么必要嗎?
吳美霖:
安全芯片的作用是安全合成以及儲存私鑰,以及保證密碼的隨機性,是重中之重。所以安全芯片是大前提,當然助記詞也要好好保管。
阿本:
1、增加安全芯片確實會提升硬件錢包成本,但我認為硬件錢包的本質就是「最大限度地保障用戶私鑰安全」,所以在這個前提下,這些成本物超所值。
2、「助記詞」確實是最核心需要用戶保護的「阿喀琉斯之踵」,所以我一直認為其實保護好自己的數字資產不是一個「安全問題」,而是一個「社會工程學問題」,我們能夠保證存儲在HolderWallet里的「私鑰」絕對安全,但是保管好「助記詞」這件事,需要用戶層面加以更多關注。核心理念就像三體里所說的「藏好自己,做好清理」。
事物發展的方向永遠都是化繁為,市面上也出現了軟件冷錢包,比如Ownbit和ParitySigner這種,便宜,安全級別類似且可實現更復雜的功能,比如多簽冷錢包。硬件錢包未來需要如何發展才能保持市場競爭力?
阿本:
每種錢包都有自己的特定用戶,確實并非所有用戶都需要考慮使用硬件錢包,在自身「安全意識」足夠健壯的情況下,任何方式都可能是一個好方法,哪怕只是一張紙:
而硬件錢包HolderWallet實際上是希望能夠幫助那些自身「安全意識」不那么健壯,或者是希望自己資產得到「最大限度安全保障」的用戶存儲他們的私鑰。
而要得到「最大限度安全保障」,光靠軟件是不夠的,還需要底層硬件做支撐,這是硬件錢包的根本,像您說的,「事物發展的方向永遠都是化繁為簡」,在安全這層,我們希望盡量恒定所有「繁雜的變量」,才能把安全做到「極致地簡單」。
最近BTC價格創新高,為幣圈吸引了一大批新人。小白用戶該如何存儲數字資產?硬件錢包是不是門檻太高了?
吳美霖:
很多人都說我是新人沒必要了解錢包或者用不到錢包,其實安全對于我們來說從來都不分金額大小,積小成多,每一步資金的積累都離不開安全的防護。我給大家的建議是在買幣之前一定要先了解行業的發展及儲存數字資產的工具,這樣有了幣才能留住幣,才算是把錢牢牢地抓在自己手里。
阿本:
正好相反,硬件錢包作為一個「存儲數字資產」的工具而言,它的門檻并不高。因為核心流程就是生成私鑰——備份助記詞——然后把資產轉賬給您在硬件中生成的錢包地址里,不用擔心是否因為聯網被人盜取私鑰,不用擔心是否把資產存在交易所會出現第二個「門頭溝事件」。
而您唯一要做的,就是「藏好自己,做好清理」,做時間的朋友。
Tags:EDGEEDGGERLEDHedge Tech GovernanceEdgeSwapHUNGER幣OneLedger
2020年,“魔幻”這個詞放在哪個行業都不過分,誰也沒有想到“見證歷史”這四個字會成為現實生活的真實寫照.
1900/1/1 0:00:00來源:https://github.com/Parasset/背景:鏈上資產包含原生資產和信用資產,基于預言機的鏈上價格,可以使用已有的原生資產平行的生成所有有報價的資產.
1900/1/1 0:00:00今天已經是跨年夜了,這也是我的第68篇文章,從今年開始想要做這件事的初衷就是為了幫助更多人了解真正意義上的區塊鏈,從10月到12月,從零開始到現在社群中的200多名支持者進行話題探討.
1900/1/1 0:00:00美國前總統唐納德-特朗普向來百無禁忌,所以他對加密貨幣也直白的發表了自己的看法,稱自己“不是很感興趣”。但現在情形有所不同,新當選的總統喬-拜登似乎站在對加密貨幣更加有利的立場.
1900/1/1 0:00:00Flag1:看完這集劇我就睡覺!Flag2:看完這章小說我就睡覺!Flag3:贏一局游戲我就睡覺!結果……大家都知道,畢竟人類的本質是真香.
1900/1/1 0:00:00ETH越來越瘋狂了,在上一輪到達價格最高點之后ETH開始了調整,但僅僅經過了不到一周的時間,ETH又將沖擊之前的最高點1350美元了,截至發文前,ETH已經突破前高了.
1900/1/1 0:00:00