LED:數據泄漏 硬件冷錢與軟件冷錢包誰更安全_EDG

這兩天硬件冷錢包廠商 Ledger 的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據，我的名字和信息也赫然在列！很顯然，數據泄漏對用戶造成了利益侵害，然而我覺得更加值得探討是硬件錢包方向的問題。

之前，我也使用 Ledger。后來，因為看到硬件冷錢包的種種缺點，以及軟件冷錢包的興起，才毅然決定做 Ownbit 軟件冷錢包。

軟件冷錢包

不同于硬件冷錢包，軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機，其中一部永久離線，作為冷錢包存儲私鑰（助記詞）。另一部聯網，作為觀察錢包使用。

軟件冷錢包和硬件冷錢包實現同樣的功能，安全級別類似。但是它們有一些顯著的區別：

電子郵件自動化工具Klaviyo遭入侵，44家加密相關公司受到數據泄露影響:8月11日消息，電子郵件營銷自動化工具Klaviyo表示因其一位員工遭到釣魚攻擊，導致其內部系統遭到入侵，在得知這一事件后，Klaviyo撤銷了受影響用戶的訪問權限，并從系統中移除攻擊者。比特幣儲蓄公司Swan Bitcoin表示，其也受到了此事件的影響。

Klaviyo稱，目前還在調查中，已知的是，攻擊者使用內部客戶支持工具主要搜索與加密貨幣相關的賬戶，并查看了44個Klaviyo賬戶（44家加密相關公司）的列表和細分信息。攻擊者還查看并下載了Klaviyo用于產品和營銷更新的兩個內部列表。這些導出包括姓名、地址、電子郵件地址和電話號碼等信息，不過未包括任何密碼、密碼哈希或信用卡號碼。[2022/8/11 12:19:18]

軟件冷錢包可以使用閑置手機，沒有額外的硬件；

Ledger及Shopify因去年的數據泄露事件遭到集體訴訟:金色財經報道，加密錢包運營商Ledger和負責Ledger錢包在線銷售的電子商務巨頭Shopify因去年的數據泄露事件被提起一項新的集體訴訟。據悉，2020年夏天出現了Ledger用戶遭到網絡釣魚攻擊的新聞，該公司最終披露其在六月發生了數據泄露。在此期間，客戶聯系和訂單信息遭到破壞。去年12月，包含超過25萬名Ledger客戶個人信息的數據庫被在線發布。Ledger和Shopify最終確定Shopify的一名員工是造成此次泄漏的原因。[2021/4/9 20:00:04]

硬件冷錢包通過數據線或藍牙傳輸數據，而軟件冷錢包通過掃描二維碼；

可信任的助記詞

韓國法院裁定Bithumb對2017年數據泄露事件需承擔部分責任:根據韓國首爾中央地方法院民事協議第16庭的裁定，Bithumb被認為對2017年的數據泄露事件負有部分責任，該數據泄露導致客戶損失了2.72萬美元。根據法院文件，Bithumb需向該受害者支付超過5000美元的賠償金。同時，在另外兩項獨立且規模更大的索賠中，Bithumb被免除了責任。（Cryptonews）[2020/9/2]

軟件冷錢包可以實現更徹底的去信任（即不需要信任軟件開發者），用戶可以自行證明其錢包的絕對安全性。

在資產安全中，首當其沖的是助記詞的安全。而在助記詞的安全中，首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商（或者有bug）的硬件錢包，您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的，是預先生成的，或者是假隨機的。

工信部就新浪微博數據泄露事件問詢約談:針對媒體報道的新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題，工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談。

工信部要求新浪微博按照《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求，對照工信部等四部門制定的《App 違法違規收集使用個人信息行為認定方法》，進一步采取有效措施，消除數據安全隱患：一是要盡快完善隱私政策，規范用戶個人信息收集使用行為；二是要加強用戶信息分類分級保護，強化用戶查詢接口風險控制等安全保護策略；三是要加強企業內部數據安全管理，定期及新業務上線前要開展數據安全合規性自評估，及時防范數據安全風險；四是要在發生重大數據安全事件時，及時告知用戶并向主管部門報告。

此前報道，近日，有用戶發現5.38億條微博用戶信息在暗網出售，其中，1.72億條有賬戶基本信息，售價0.177比特幣。涉及到的賬號信息包括用戶ID、賬號發布的微博數、粉絲數、關注數、性別、地理位置等。[2020/3/24]

硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任，而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。

在使用軟件冷錢包時，你可選擇信任軟件，讓其幫助您生成助記詞。也可以選擇不信任軟件，自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線，不存在向互聯網傳輸數據的可能（唯一的交互是通過二維碼掃描和觀察錢包之間進行明文傳輸，可審查），所以助記詞的安全性得到了絕對的保障。

因此，軟件冷錢包的助記詞的安全性高于硬件冷錢包。

藍牙 vs 二維碼傳輸

硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言，硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。

藍牙傳輸方案的優點是：數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限，對于有較大數據傳輸的場景，該缺點顯得尤為突出。例如：較大的比特幣交易（UTXO數量龐大）。

藍牙傳輸方案的缺點是：安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug，在特定場景下，可能存在安全隱患。另一點是，藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內（10米內），通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里，是完全不存在的。

藍牙傳輸的另一個弱點是：可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容，以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任，即用戶可以在數據傳輸層面確保其私鑰（助記詞）不受泄漏，而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。

經濟性和靈活性

軟件冷錢包可以使用閑置的手機作為冷錢包存儲，而無需購買額外的硬件。因此更加經濟。

更重要的是，軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能，例如：多簽冷錢包。

軟件冷錢包的靈活性，也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞，需要購買（同一廠商）的硬件，進行硬件恢復。而使用軟件冷錢包，則沒有這樣的顧慮。

封閉和開放

軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式，可以在更廣泛的范圍內定義標準，實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。

兩種方案的錢包生態

目前市場上，雖然主要的冷錢包產品依然是以硬件冷錢包為主，但是它們正在受到軟件冷錢包的沖擊。

硬件冷錢包：

Ledger 是最知名的硬件冷錢包方案提供商；

Trezor 是另一個知名的硬件冷錢包提供商；

軟件冷錢包：

Ownbit 是最早實現軟件冷錢包方案的錢包，也是支持冷錢包幣種最多的錢包之一；

Parity Signer 是 Parity 出品的以太坊軟件冷錢包；

未來

事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。

就像大部分人不需要額外的硬件來進行閱讀（電子書），因為手機本身也可以進行閱讀。用更加常見的設備（手機）來替代專業的硬件是必然的趨勢！因為它們在功能上類似，甚至更加優秀！

原標題：硬件冷錢包向左，軟件冷錢包向右

Tags：LEDEDGEDGEEDGledger錢包官網下載ledger錢包支持哪些幣HedgeTradeledger錢包被盜幣

酷幣下載