區塊鏈世界存在絕對的安全嗎?安全也許永遠不是絕對的,而是相對的。幾乎所有錢包都有致命漏洞,黑客接觸手機2分鐘,就能轉走幣。冷錢包,又稱硬件錢包。
相當于把私鑰存在一個芯片上,不聯網,被視為“絕對安全”的存儲幣的方式。
這里一度成為區塊鏈世界的最后一片安全凈土。
而現在,幾乎所有的硬件錢包,都被破解過。
黑客只需要接觸手機兩分鐘,不管你是否屏蔽,就可以輕易轉走所有的幣。
隨著錢包熱興起,很多新廠商加入這一戰場,但它們對安全的理解往往不到位。這大大增加了安全隱患。
冷錢包還值得信賴嗎?
區塊鏈的世界,到底是否存在絕對的安全?
01不安全的錢包
你知道嗎?其實大部分的錢包,都可以被破解。
包括冷錢包。
一個公司的工資員告訴記者,他所在的團隊,就通過技術手段,當眾破解了兩個國內外知名的硬件錢包。
BTC錢包余額排名第一的是火幣冷錢包,余額為255502.16:據Chain.info富豪榜顯示,截至05月26日12:00,區塊高度為628214。BTC錢包余額排名第一的是火幣冷錢包,余額為255502.16,錢包地址為35hK24tcLEWcgNA4JxpvbkNkoAcDGqQPsP;BTC錢包余額排名第二的是Bitfinex冷錢包,余額為113501.00,錢包地址為bc1qgdjqv0av3q56jvd82tkdjpy7gdp9ut8tlqmgrpmv24sq90ecnvqqjwvw97;BTC錢包余額排名第三的是Bitstamp冷錢包,余額為101857.25,錢包地址為3KZ526NxCVXbKwwP66RgM3pte6zW4gY1tD。[2020/5/26]
第一個,是在2019年初獲得8000萬美金融資的法國Ledger錢包。
“Ledger錢包在設計上有一個安全芯片和一個非安全芯片,我們通過強制升級非安全芯片的方式,在不拆除外殼的前提下,就能一步步取得錢包的PIN碼。”工作員說。
聲音 | OKEx CEO:OKEx的冷錢包會拆成多份,每一份需要公司3個安全人員一起才能啟用:OKEx CEO Jay Hao表示,OKEx的冷錢包會拆成多份,不會保存大型冷錢包,每份只存500btc左右,冷錢包私鑰主要觸網一次,就會完全棄用,每一份冷錢包都需要公司3個不同的安全人員一起才能啟用。[2019/10/9]
PIN碼相當于錢包的密碼,有了它,就可以打開錢包,把錢轉走。
除了Ledger,團隊還發現,其實大部分基于手機平臺的比特幣錢包,都可以被破解。
“幾乎所有手機上的錢包,都能破解。”工作員稱,不管是手機APP的軟錢包,還是硬錢包。
比如,他們在對國內多款錢包進行測試時發現,通過導出錢包固件,不僅可以看到多個幣種的緩存信息,還可以找到生成助記詞的各種庫。
工作員指出,這是一個很通用的USB漏洞。黑客可以很輕松地植入惡意軟件,盜走交易口令和私鑰信息。
動態 | huobi冷錢包地址BTC數量達到151000枚 位列富豪榜首位:據Tokenview數據顯示,BTC富豪榜前五分別為Huobi-coldwallet、Binance-coldwallet、Bittrex-coldwallet、Bitstamp-coldwallet、183hmJGRuTEi2YDCWy5iozY8rZtFwVgahM。其中,huobi冷錢包地址以151000.13183885 BTC,占比0.85%位列第一。[2019/8/9]
“只要接觸手機2分鐘,黑客就能搞出數據,不管你是否有屏蔽保護口令。”稱這個漏洞,極其嚴重。
在他看來,這才是最危險的——包括小米、魅族在內的大部分國產手機品牌的中低檔機,“都用的是MTK芯片方案”。
這就意味著,絕大多數硬錢包和軟錢包,都不安全。
02冷錢包
保守估計,現在市面上有上百家廠商的錢包產品。它們可分為兩類,一類是軟件錢包,一類是硬件錢包,即冷錢包。
動態 | 美聯社:三星Galaxy S10冷錢包將支持COSM:據美聯社報道,Cosmochain被選為三星智能手機Galaxy S10的首個DAPP合作伙伴。三星Galaxy S10將支持其DAPP COSMEE的代幣COSM,將成為冷錢包Galaxy Keystore中包含的首批代幣之一。據悉,COSMEE是一個基于區塊鏈的美容平臺,用戶可以通過移動設備查看化妝品。當用戶上傳評論時,他們會根據其他用戶的評估獲得COSM獎勵。此前有消息稱,三星Galaxy S10或將提供加密貨幣錢包。[2019/2/20]
但硬件錢包是什么?
比特幣是存在區塊鏈上的,而私鑰,是你擁有和有權管理比特幣的證明。
硬件錢包的工作原理,就是將私鑰存在一個芯片上,與網絡隔離,即插即用。它的外形,有點像U盤。
在業內,硬件錢包被普遍認為是最安全的數字貨幣存儲手段。人們的理由主要有三點:
動態 | EOSBet將熱錢包內的75%資金轉至冷錢包:由于最近遭受到黑客攻擊,EOSBet宣布將存儲在熱錢包的75%(30萬個EOS)的資金(bankroll)轉移至冷錢錢包,從而提高資金安全。在未來的數周里,EOSBet將執行一系列的安全更新。[2018/9/17]
1.硬件錢包中的私鑰不能被導出。因為不聯網,杜絕了黑客攻擊。
2.易備份。設備在初始化配置時會生成助記詞,作為私鑰的備份,當你的設備丟失或損壞以后,可以購買新的設備,然后通過助記詞來恢復私鑰。
3.可實現多幣種同時管理——絕大多數的硬件錢包,除了管理比特幣,還可以管理萊特幣、以太坊、比特現金等數字貨幣。
因為看好這一領域,很多國內外區塊鏈創業者,都在打造更多的硬件錢包。
“但是,其中大多數廠家對安全理解不到位,導致了很多設計架構問題。”工作員告訴記者。
交易所被大量盜幣、軟件錢包不時失竊,硬件錢包,因此被視為最后一道護城河。
這道護城河一旦失守,意味著什么?
事實上,硬件錢包不是第一次被破解,也不會是最后一次被破解。
2017年,在美國拉斯維加斯舉行的世界黑客大會DEFCON25上,國外某安全團隊,就向觀眾演示了如何破解比特幣硬件錢包。
其中就包括最古老的比特幣錢包Trezor。
Trezor使用了STMicroelectronics生產的非安全芯片。黑客在拿到Trezor后,通過拆除其外殼,就可以利用漏洞,轉走比特幣。
這個過程最快只需要15秒。
也是在2017年,一個名為“LargeBitcoinCollider”的組織,組織黑客暴力破解比特幣硬件錢包。LargeBitcoinCollider這個名字,就是直接取自歐洲粒子物理研究所的大型強子對撞機的名字,意為用強大的計算能力,去猜出錢包的密鑰。
該組織將破解過程稱為“挖寶”:一旦成功,錢包內的比特幣,將由參與者共同分享。
在嘗試中,LargeBitcoinCollider生成了3000萬億條密鑰,其中有十多個錢包的密鑰被“猜對了”,錢包被打開,其中三個錢包內裝有比特幣。
在成功地分享了這三個錢包中的比特幣后,暴力破解行為結束了。
LargeBitcoinCollider稱,對他們來說,重要的并不是盜取比特幣,也不是讓比特幣消亡,而是對新的比特幣算法進行可能的嘗試。
據悉,在未來的量子計算機出現后,生成30000億條密鑰,可能只需要8個小時。光是想想這個,都讓人不寒而栗。
03安全無絕對?
在區塊鏈的世界里,絕對的安全,存在嗎?
如前文證明了的,硬件錢包,就不存在絕對的安全。
那么,“代碼即法律”的智能合約,又安全嗎?
設想一下,你簽了一個合同,雖然這個合同是開源的,但是你并不能完全看懂這個合同。這就是大多數人對于智能合約的無奈。
雖然區塊鏈技術能保證你的合同完全按照規則執行,但是合約層的代碼漏洞,卻不易被發現。
而開源,就意味著誰都能看。換句話說,你簽了一個看不懂的合同,你身后的黑客,卻能看懂。
于是,黑客就成了區塊鏈世界的第一大威脅。
一旦智能合約的漏洞被黑客發現,他們就會發動攻擊。這樣的例子不勝枚舉。
有數據顯示,以太坊發展至今,黑客至少竊取了價值10億美元的數字資產。
再來看PoW和PoS,它們安全嗎?
區塊鏈的本質在于建立多方信任,而落到技術上,就是處在區塊鏈中間層的共識算法。
最主流的共識算法,一種是以比特幣為代表的挖礦機制,另一種是投票機制。
簡單地說,PoW的機制是誰的算力大就信任誰,PoS的機制是誰的比特幣多就信任誰。
理論上講,某個人或群體擁有比特幣網絡51%的算力,或者具有支配51%算力的能力,就能對比特幣網絡發起攻擊。
如果這一天真的降臨,比特幣體系將被摧毀,或者被壟斷。
在全球比特幣算力進一步集中化的今天,算力排行前四的礦池,已經擁有了超過54%的算力。
一旦它們聯手,發動對比特幣的51%攻擊,不是不可能。
照此推論,得出的結論,可能是悲觀的。
區塊鏈世界存在絕對的安全嗎?
或許,我們可以換個角度,來思考這個問題。
安全永遠不是絕對的,而是相對的。
真實的世界本來是一個熵增的過程,它會不斷變化,不斷出錯。
而區塊鏈的使命,則是延緩熵增的速度。
找靠譜礦場就選原力區,行業實力低調派系,小窗站長或加官方bidao188
IPFS技術如今大熱,IPFS能否解決數據的存儲問題、IPFS更易在哪些領域率先迎來落地應用、Fil未來的價值究竟能達到多少……這些都是當前各種峰會、論壇上最吸睛的問題.
1900/1/1 0:00:00尊敬的BiONE用戶: 首屆BiONE杯王者榮耀大賽即將開賽,BiONE交易所誠邀各路“王者歸位”,贏終極大獎.
1900/1/1 0:00:00尊敬的LBank用戶: 自LBank上線BAL「幣生息」產品以來,收到了社區熱烈的反饋。為了回饋用戶,LBank「幣生息」將重新啟動BAL年化30%持幣生息。無需鎖倉,持有即得,每日結息.
1900/1/1 0:00:00各位老鐵好,我是你們的朋友墨菲言幣公眾號同步,一個普普通通得分析師,分析得文章千千萬萬,你能看到墨菲得文章,說明我的文章和你有緣,寫的文章有不好的地方見諒,覺得好的麻煩點個贊留個言.
1900/1/1 0:00:00一文了解6大DEX平臺推出的去中心化永續合約產品。 撰文:殷耀平 2020年是去中心化交易所爆發的一年,在上半年總成交量相比去年同期驟增五倍達到50億美元大關過后,剛剛過去的7月DEX又取得了單.
1900/1/1 0:00:00在“云算力、Filecoin主網上線、各大礦商算力戰”等事件推動下,Filecoin已成為繼DeFi、ETH2.0之后的,區塊鏈行業2020年第三大熱點.
1900/1/1 0:00:00