金色財經 區塊鏈1月12日訊? 目前加密貨幣和區塊鏈應用程序對普通用戶來說的最大挑戰之一,其實是安全性:我們如何防止用戶的資金丟失或被盜?資金丟失和盜竊是一個嚴重的問題,通常會使無辜的區塊鏈用戶損失數千美元,在某些情況下甚至會導致他們大部分或全部凈資產消失殆盡。
過去多年來,加密貨幣社區已經提出了許多解決方案,比如:紙錢包、硬件錢包、還有我個人比較推薦的多簽錢包。實際上,這些錢包的安全性已經有了顯著改善。但是,這些解決方案依然存在各種缺陷——有時提供的防盜和防丟保護遠遠少于用戶實際需要的,有時流程笨拙且難以使用,有時兩者兼而有之,導致不少加密貨幣安全解決方案的采用率極低。但是最近,出現了一個更好的替代方案:一種稱為社交恢復錢包的新型智能合約錢包。與以前的同類產品相比,這種錢包可以提供更高的安全性和更好的可用性,但是想要輕松且廣泛地部署此類錢包,依然還有較長一段路要走。這篇文章將介紹什么是社交恢復錢包,以及為什么這種錢包非常重要,還有我們需要如何且應該如何在整個生態系統中更廣泛地采用社交恢復錢包。
錢包安全是一個很大的問題
實際上,錢包安全性問題從一開始就一直困擾著區塊鏈生態系統。早在2011年,當時比特幣幾乎是市場上唯一的加密貨幣,但已經有不少猖狂的盜竊案件導致用戶損失了。確實,在創建以太坊之前,我曾作為Bitcoin Magazine聯合創始人和作家寫過一篇文章,詳細介紹了當時已經發生的駭客事件,以及用戶遭受損失和盜竊有多么恐怖。
這是一個示例:
太平洋夏季時間昨晚9點左右,我單擊了一個鏈接以轉到CoinChat [.]freetzi[.]com——并被提示運行Java。我照做了(因為我認為這是一個合法的聊天室),但是什么也沒發生。我關上窗戶,什么也沒想。大約14分鐘后,我打開了我的bitcoin-qt錢包,發現一筆交易完成,幾乎把我整個錢包的錢都轉移到錢包1Es3QVvKN1qA2p6me7jLCVMZpQXVXWPNTC。
還有一個例子,某人的損失為2.07 BTC,當時價值300美元,但現在已超過7萬美元,讓我們來看看:
2011年6月,在一個未知入侵者以某種方式直接訪問了他的計算機后,Bitcointalk成員“allinvain”損失了25,000 BTC(當時價值500,000美元)。攻擊者能夠訪問allinvain的wallet.dat文件,并通過從allinvain計算機直接發送交易,而且還能輕松上載wallet.dat文件并清空計算機上的錢包記錄。
分析 | 金色盤面:加密貨幣市場強勁反彈:金色盤面分析:過去1小時,十億市值俱樂部成員集體發力,帶動市場強勁反彈。其中XRP以1.69%的漲幅名列榜首,市場出現了修復性反彈,但是整體調整尚未結束,提醒投資者理性看待市場波動,做好風控。(登錄金色財經APP—發現,查看更多幣種的獨家點評)[2018/10/12]
以目前的價值計算,這筆損失高達近10億美元。但是,盜竊并不是唯一的問題。丟失私鑰也會帶來損失,以斯特凡·托馬斯(Stefan Thomas)為例:
比特幣開發人員斯特凡·托馬斯的錢包有三個備:一個是加密的USB記憶棒,一個是Dropbox帳戶,還有一個Virtualbox虛擬機。但是,他弄丟了其中兩個,而且還忘記了第三個密碼,從而永遠失去了7,000 BTC(當時價值125,000美元)的訪問權限。對此,斯特凡·托馬斯的回應是:“ 自那時起,我一直致力于創造更好的用戶體驗。”
一項對比特幣生態系統的分析研究表明,加密貨幣市場每天可能丟失1500個BTC,這是比特幣用戶交易費用支出的十倍以上,并且這些年來累計丟失的比特幣數量已經多達總供應量的20%。所以,我們必須面對一個不可避免的事實:錢包安全問題是非常重要的,我們不應低估它。
如果從社會和心理分析的話,就很容易看出為什么錢包安全性容易被人們低估,主要原因是:人們很自然地會擔心在總愛評判的公眾面前顯得自己不小心或愚蠢,因此很多人會把自己資金被黑的經歷隱藏起來。資金損失更為嚴重,因為人們普遍認為“除了你自己,沒有人可以責怪”。但現實是,包括區塊鏈在內的數字技術的全部意義在于,使人類更容易地從事非常復雜的任務,而不必付出極大的精神努力,也不必生活在不斷害怕犯錯的恐懼之中。如果一個生態系統對損失和失竊的唯一答案是一個12步教程、不太安全的措施以及不那么偶然的半諷刺性的“對于你的損失感到抱歉”這樣的方案,那么它將很難被廣泛采用。
因此,在不要求所有加密貨幣用戶將個人安全變成全職愛好的情況下,減少損失和盜竊數量的解決方案對業界來說是非常有價值的。
單靠硬件錢包還不夠好
硬件錢包經常被吹捧為加密貨幣資金管理的最佳技術。硬件錢包是一種專用硬件設備,可以連接到您的計算機或電話(例如,通過USB),并且包含專用芯片,該芯片只能生成私鑰和簽署交易。交易將在您的計算機或電話上啟動,必須在硬件錢包中確認后才能發送。私鑰保留在您的硬件錢包中,因此,侵入您的計算機或電話的攻擊者無法耗盡資金。
金色晨訊 | 迪拜財政部與智能迪拜辦事處合作推出區塊鏈支付系統:1.迪拜財政部與智能迪拜辦事處合作推出區塊鏈支付系統 將面向迪拜政府機構
2.阿根廷第一臺比特幣ATM在布宜諾斯艾利斯購物中心開始運營
3.圖靈獎得主Silvio Micali破解區塊鏈在擴展性、安全性、去中心三者兼容難題
4.成都市印發《規劃》制定區塊鏈等新興領域發展政策
5.河北省工業和信息化廳大力支持和加速區塊鏈技術賦能實體經濟
6.浦發銀行攜手微軟等公司發起成立包含區塊鏈合作的“科技合作共同體”
7.車臣將建立加密采礦池以整合歐亞經濟聯盟的加密礦工資源
8.研究報告顯示2018年數字貨幣交易量將超美國公司債務總額
9.ETH重新奪回總市值第二寶座[2018/9/24]
硬件錢包是一個重大的改進,它們肯定可以保護Java聊天室的受害者,但并不完美。我看到了硬件錢包的兩個主要問題:
1、供應鏈攻擊:如果您購買硬件錢包,那么您會信任許多參與生產錢包的參與者-設計錢包的公司,生產錢包的工廠以及所有可能將其替換為錢包的參與運輸的人假的。硬件錢包可能會吸引此類攻擊:資金被盜與被盜設備數量之比非常高。值得稱贊的是,諸如Ledger之類的硬件錢包制造商已經采取了許多保護措施來防范這些風險,但是仍然存在一些風險。從根本上說,硬件設備不能像開源軟件那樣進行審計。
2、單點故障:如果有人在站在您的肩膀后抓住您輸入PIN后立即偷走了您的硬件錢包,他們就可以竊取您的資金。如果您丟失了硬件錢包,那么您將損失您的資金-除非硬件錢包在設置時生成并輸出備份,但是正如我們將看到的那樣,它們都有自己的問題...
助記詞也不夠好
許多錢包(無論是硬件錢包還是軟件錢包)都有一個設置過程,在此過程中,它們會輸出一個助記符短語,該短語是人們可理解的12到24個單詞的錢包根私鑰編碼,舉個助記詞短語例子:
vote dance type subject valley fall usage silk
essay lunch endorse lunar obvious race ribbon key
already arrow enable drama keen survey lesson cruel
分析 | 金色盤面:BTC季度合約向下突破趨勢線:金色盤面綜合分析:BTC季度合約向下突破趨勢線,在6423美金遇到壓力向下運行,后續走勢可能出現回落,在6349美金可能遇到支撐。[2018/8/18]
如果您丟失了錢包但擁有助記詞,則可以在設置新的錢包以恢復帳戶時輸入該詞,因為助記詞包含根密鑰,可以從中生成所有其他密鑰。
助記詞短語有助于防止丟失,但對于防盜并沒有任何作用。更糟糕的是,它們增加了一個新的盜竊媒介:如果您具有標準的硬件錢包+助記符備份組合,那么盜用您的硬件錢包+ PIN或助記符備份的某人可以竊取您的資金。此外,保持助記詞短語而不是不小心將其丟棄本身本身就是一項不費吹灰之力。
如果將短語分成兩半并給朋友一半,雖然可以減輕被盜風險,但是
(i)幾乎沒有人真正推廣這種行為;
(ii)存在安全問題,因為這個助記詞短語很短(128位),那么就有可能存在一個老練而有動機的攻擊者,如果其拿到了其中一半的助記詞短語,他就可能通過暴力碰撞可能的組合來找到另一部分助記詞短語;
(iii)進一步增加了精神負擔。
所以,我們需要的是什么?
我們需要的是一個滿足以下三個關鍵條件的錢包設計:
1、沒有單一的故障點:理想情況下,沒有一起運送的事物的集合,如果被盜,攻擊者也無法簡單地訪問你的資金,或者如果丟失,則可以拒絕使用您的資金;
2、低心理負擔:盡可能不應該要求用戶學習陌生的新習慣或付出精神努力以始終記住遵循某些行為模式。
3、最大交易便利性:大多數常規活動所需要的精力不應比常規錢包多得多(例如Status、Metamask等);
多重簽名很棒!
早在2013年,解決這些問題的最佳技術就是多重簽名(multisig)。你可以擁有一個存在三把密鑰的錢包,但只需要其中任意兩把密鑰簽名,你就可以發送交易。
這項技術最初是在比特幣生態系統中開發的,但優秀的多重簽名錢包(例如Gnosis Safe)現在也適用于以太坊。多重簽名錢包在組織內部是非常成功的:以太坊基金會使用了一個4-of-7多重簽名錢包來存儲資金,以太坊生態系統中的許多其他組織也是如此。
分析 | 金色盤面:LSK/BTC 短線走勢強勁:金色盤面綜合分析:LSK/BTC 大幅反彈,雖然量價配合不錯,但從技術角度分析,不建議追高。[2018/8/17]
而對于個人用戶來說,使用多重簽名錢包可能存在的一個主要問題是:誰持有資金,以及如何批準交易?最常見的公式是“兩個易于訪問但獨立的密鑰是由你掌握的(筆記本或手機),第三個是更安全但易訪問的備份,其離線存放或由朋友或機構托管。”
這是相當安全的:即便其中一個設備丟失或被盜,你也可以訪問到自己的資金。但安全性遠不是完美的:如果你能偷別人的筆記本電腦,偷他們的手機通常也沒有那么難。可用性也是一個挑戰,因為現在每筆交易都需要使用兩個設備進行兩次確認。
社交恢復是更好的選擇
這讓我想到了我最喜歡的錢包保護方法:社交恢復。社交恢復系統的工作原理如下:
1、只有一個“簽名密鑰”可用于批準交易;
2、至少有3個或更多“守護人”,其中多數人就可合作更改帳戶的簽名密鑰。
簽名密鑰可以添加或刪除守護人,但會有一個延遲(時間通常是1-3天)。
在所有正常情況下,用戶都可以像普通錢包一樣簡單地使用其社交恢復錢包,并使用其簽名密鑰對消息進行簽名,從而使每個已簽名的交易都可以通過一次確認點擊快速完成,就像在“傳統”錢包(如Metamask)中一樣。
如果用戶丟失了簽名密鑰,那么社交恢復功能就會啟動。用戶可以直接與監護人聯系,要求他們簽署一項特殊交易,以將錢包合同中注冊的簽名公鑰更改為新的簽名。這很容易:他們可以簡單地轉到諸如security.loopring.io之類的網頁,登錄,查看恢復請求并對其進行簽名。對于每個監護人而言,這與進行Uniswap交易一樣容易。
有許多可能的選擇供您選擇作為監護人。三種最常見的選擇是:
1、錢包持有者自己擁有的其他設備(或紙助記符);
2、朋友和家人;
3、機構會在收到您的電話號碼或電子郵件確認后簽署恢復消息,或者在高價值的情況下通過視頻通話來驗證您的身份。
金色快評 | 央行 外管局等部委或將聯手加強對數字貨幣交易“出海”監管:近日,中國人民銀行副行長潘功勝表示,目前部分ICO、數字貨幣交易等涉及非法集資和非法發行證券的機構,在中國國內受到打擊之后,跑到國外,未經中國政府許可,仍然對中國的居民開展業務,這是明確為非法并禁止的。他著重強調了要遏制增量風險。對一些新的互聯網金融產品和業態的出現,在現有法律和政策框架中,如果不符合,那么“露頭”就打。
同時,國家外匯管理局副局長陸磊7月8日在第五屆金融科技外灘峰會上表示,應用區塊鏈技術,可以輕松繞開銀行,實現資金跨境流轉。用各種tocken、虛擬幣作為中介,先將匯款人所在地的法幣轉為代幣,再在收款端將代幣轉為收款人所在地的法定貨幣,在事實上完成跨境支付。從監管角度,外管局目前正在推進“數字外管”建設,以此形成大數據實時監測和管理平臺。
2017年9月,央行聯合七部委明確將ICO界定為非法集資行為,部分機構通過將注冊服務器移至國外等方式繞道監管。2018年是金融風險防范化解的攻堅之年,從年初以來對傳統金融機構的罰單數和監管力度來看都是空前的。隨著資管新規的出臺,去除通道業務、降低杠桿率的力度進一步加大。但ICO和數字貨幣交易活動為機構提供了傳統金融業務以外的融資途徑,也為資金出境提供了便利,已成為監管的重點。從兩部門領導講話也可以看出其加強監管和打擊違法違規開展ICO等業務的決心。有理由相信,為防控風險,央行、外管局等部委或將聯手進一步加強對數字貨幣交易“出海”的監管。[2018/7/11]
監護人很容易添加:您只需輸入他們的ENS名稱或ETH地址即可添加監護人,盡管大多數社交恢復錢包都要求監護人在恢復網頁上簽署交易以同意添加。在任何設計合理的社交恢復錢包中,監護人無需下載和使用同一錢包;他們可以簡單地使用現有的以太坊錢包,無論哪種錢包。鑒于添加監護人的便利性很高,如果您很幸運您的社交圈已經由以太坊用戶組成,我個人更希望監護人數量多(最好是7個以上),以提高安全性。如果您已經有了一個錢包,那么就不需要監護人不斷努力:您可以通過現有的錢包進行任何恢復操作。如果您不認識許多其他活躍的以太坊用戶,那么最好相信數量較少的監護人。
為了減少攻擊監護人和串通的風險,不必公開了解您的監護人:實際上,他們不需要知道彼此的身份。這可以通過兩種方式來完成。首先,代替將監護人的地址直接存儲在鏈上,可以將地址列表的哈希存儲在鏈上,并且錢包所有者只需要在恢復時發布完整列表即可。其次,可以要求每個監護人確定性地生成一個新的單一目的地址,以用于特定的恢復。除非實際需要恢復,否則他們實際上不需要發送任何具有該地址的交易。為了補充這些技術保護,建議選擇來自不同社會圈子的各種各樣的監護人(理想情況下包括一個機構監護人);這些建議一起使監護人很難同時受到攻擊或串通。
如果您死亡或永久喪失工作能力,這將是一項社會認可的標準協議,監護人可以公開宣布自己,以便在這種情況下,他們可以找到彼此并追回您的資金。
社交恢復錢包不是背叛,而是“加密價值”的一種表達。
對于使用任何形式的多重簽名,社交恢復或其他形式的建議的一種常見回應是,該解決方案可以追溯到“信任人們”的想法,也就是對區塊鏈和加密貨幣行業價值的背叛。雖然我理解了為什么人們乍看之下會想到這一點,但我還是認為,這種批評源于對加密技術的基本誤解。
對我而言,加密貨幣的目標絕不是消除對所有人的信任。相反,加密的目的是使人們能夠使用加密和經濟構建塊,從而使人們有更多選擇信任的對象,并進一步使人們建立更多受限的信任形式:賦予某人代表您做某事的權力沒有賦予他們做任何事情的權力。從這種角度來看,多重簽名和社交恢復是這一原則的完美表達:每個參與者對接受或拒絕交易的能力都有一定的影響,但是沒有人可以單方面轉移資金。與必須由一個人或鑰匙單方面控制資金的情況相比,這種更復雜的邏輯可以使設置安全得多。
這個基本的想法(應謹慎地使用人的輸入而不是直接丟掉它)是有效的,因為它可以很好地與人腦的優缺點相適應。人腦非常不適合記住密碼和跟蹤紙錢包,但是它是用于跟蹤與其他人的關系的ASIC碼。
對于普通用戶來說,這種效果甚至更強:他們可能更難使用錢包和密碼,但他們同樣擅長處理諸如“選擇7個不會勾結的人”之類的社交任務。如果我們可以從人類輸入中至少提取一些信息到一種機制中,而又不將這些輸入變成攻擊和利用的載體,那么我們應該弄清楚如何做到。
社交恢復是非常強大的:要盜取一個有7個守護人的錢包,這需要7個守護人中的4個,以某種方式相互發現,并同意竊取錢包中的資金,而不讓他們中的任何一個向失主告密:這當然要比攻擊一個純粹由一個人保護的錢包要困難得多。
社交恢復如何防止盜竊?
上面說明的社會恢復涉及您丟掉錢包的風險。但是仍然存在簽名密鑰被盜的風險:有人侵入您的計算機,在您已經登錄并潛入您的頭上時在您身后偷偷摸摸,甚至只是使用一些用戶界面故障來欺騙您進行簽名您不打算簽署的交易。
我們可以通過添加保管庫來擴展社會恢復能力以處理此類問題。每個社會恢復錢包都可以附帶一個自動生成的保管庫。只需將資產發送到保管庫的地址即可將其移至保管庫,但只能將其移出保管庫,但要延遲1周。在該延遲期間,簽名密鑰(或擴展為監護人)可以取消交易。如果需要,還可以對庫進行編程,以便可以立即進行一些有限的財務操作(例如,白名單令牌之間的Uniswap交易)。
目前市場上有哪些社交恢復錢包?
當前,已實現社會恢復的兩個主要錢包是Argent錢包和Loopring錢包:
Argent錢包第一個、突破魔幻手機哦也是目前最流行的“智能合約錢包”,而社交恢復是其主要賣點之一,該錢包包括一個可以添加和刪除守護人的界面,為了防止被盜,錢包有一個每日限額:達到該金額的交易是即時的,而超過該金額的交易,需要守護人批準才能最終取款。
Loopring錢包是由Loopring協議(這是一個用于支付和去中心化交易的ZK rollup協議)的開發者構建的。Loopring錢包也有一個社交恢復功能,其工作原理與Argent非常相似。在這兩種情況下,錢包公司都免費提供了一名守護人,這依賴于手機發送的確認碼來驗證你的身份。對于其他守護人,你可以添加同一錢包的其他用戶,或通過提供其以太坊地址添加任何以太坊用戶。
這兩個錢包的用戶體驗都出奇地流暢。但它們存在著兩個主要挑戰:
首先,兩個錢包的平穩性都依賴于錢包商運行的“中繼器”(relayer),它將簽名消息作為交易重新發布。
其次,費用是很高的。
幸運的是,這兩個問題都是可以克服的。
遷移到二層(rollups)網絡可以解決剩余的問題
如上所述,存在兩個主要挑戰:
(i)依賴中繼器來解決交易;
(ii)高交易費。
在以太坊應用中,第一個挑戰是對中繼器的依賴,這是一個日益普遍的問題。出現此問題是因為以太坊中有兩種類型的帳戶:由單個私鑰控制的外部擁有帳戶(EOA)和合同。在以太坊中,有一個規則,即每筆交易都必須從EOA開始。最初的意圖是EOA代表“用戶”,合同代表“應用程序”,并且僅當用戶與應用程序對話時,該應用程序才能運行。如果我們想要具有更復雜政策(如多重簽名和社會恢復)的錢包,則需要使用合同來代表用戶。但這帶來了一個挑戰:如果您的資金處于合同中,則您需要擁有其他一些具有ETH的帳戶,才能開始每筆交易,并且它還需要大量的ETH,以防萬一交易費用變得很高。
Argent和Loopring通過親自運行“ relayer”來解決此問題。中繼器偵聽用戶提交的脫鏈數字簽名的“消息”,并將這些消息包裝在事務中,然后發布到鏈中。但是從長遠來看,這是一個糟糕的解決方案。它增加了集中化的額外點。如果中繼器關閉并且用戶確實需要發送交易,則他們始終可以從自己的EOA發送,但是仍然需要在集中化和不便之間引入新的權衡。人們在不集中的情況下努力解決這個問題并獲得便利。主要的兩類圍繞建立通用的分散式中繼網絡或修改以太坊協議本身以允許交易從合同開始。但是,這些解決方案都不能解決交易費用,實際上,由于智能合約本來就更復雜,它們使問題變得更糟。
幸運的是,我們可以通過尋求第三種解決方案同時解決這兩個問題:將生態系統移至第二層協議,例如樂觀rollups和ZK rollups。可以使用內置的帳戶抽象來設計樂觀和ZK rollups,從而避免了對中繼器的任何需求。現有的錢包開發人員已經在研究rollups,但是最終要整體遷移到rollups是整個生態系統的挑戰。
生態系統范圍內的大規模遷移到rollups是一個很好的機會,它可以扭轉以太坊生態系統的早期錯誤,并為多重簽名和智能合約錢包在幫助確保用戶資金方面發揮更加重要的作用。但這需要更廣泛的認識,即錢包的安全性是一個挑戰,而且我們在嘗試應對和挑戰方面還沒有做得足夠。多重簽名和社會復蘇不一定是故事的結局。可能會有更好的設計。但是,簡單地進行改革,即遷移到rollups并確保提供一流的智能合約錢包是實現這一目標的重要一步。
本文部分內容編譯自vitalik.ca
DeFi流動性挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程.
1900/1/1 0:00:00FX168財經報社(北美)訊 周二(1月19日),比特幣(BTC)連續第二天走高,保持在過去兩周約3.4萬美元至4萬美元的區間內.
1900/1/1 0:00:00我們相信,隨著不同的鏈之間廣泛相連,鏈上交易體驗達到目前的「互聯網級別」,互聯網用戶也會被不斷“轉化”成區塊鏈用戶。從此,大家將進入一個多鏈互聯的、全新的去中心化的Web 3.0世界.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:278.91億美元 市值前十幣種漲跌幅,金色財經制圖,數據來源Coingecko2.過去24小時去中心化交易所的交易量:18.9億美元金色財經行情播報 | BT.
1900/1/1 0:00:00本文原發布于2020年10月14日,作者Maxwel。2020年絕對是DeFi之年,DeFi項目備受人們追捧,但火爆之后伴隨著的卻是迅速消退.
1900/1/1 0:00:00即使你是在上一個大牛市的比特幣最高點梭哈比特幣,不到一個月你的資產也翻了倍,這無疑是一個前所未有的大牛市.
1900/1/1 0:00:00