隨著FTX事件的持續發酵,多個平臺提幣困難,中心化加密金融設施迎來一波嚴重的信任危機。比特幣開源區塊鏈專家AndreasAntonopoulos的那句「Notyourkeys,Notyourcrypto」也再次被奉為圭臬。在這一信條的加持下,加密玩家陸續從交易所提幣至鏈上地址。根據Glassnode最新數據,比特幣目前正以每月17.27萬枚的速度流出交易所,超過2022年6月拋售后創造的前一個峰值;在過去的兩周里,與交易所有關的提幣活動占比達到47.4%,是今年迄今為止的最高水平。更多資深用戶還紛紛轉向非托管錢包,硬件錢包廠商們在這輪提幣運動中受益頗豐。比如Ledger在短時間內連續創下多個銷售額歷史新高,Trezor銷售額飆升300%,OneKey月銷量增長1000%……或許很多人對硬件錢包的理解,依然停留在早期的存儲功能上。實際上,如今硬件錢包的功能其實已經越來越豐富,不僅要能抵御攻擊,同時也支持各種日常業務。本期,Odaily星球日報將結合案例帶大家玩轉硬件錢包。一、硬件錢包入門
所謂硬件錢包,是指基于硬件設備的加密錢包,它將用戶的私鑰存儲在安全的硬件設備中,無需互聯網連接即可訪問,這也使其成為市場上最安全的選擇之一。本次體驗,我們選擇幣信旗下OneKey錢包作為舉例對象。OneKey硬件錢包套裝與Ledger等其他硬件錢包基本大同小異,主要有如下內容:硬件錢包設備、USB連接線、使用說明書以及兩張助記詞卡。用戶首先需要通過硬件錢包設備設置一個全新的地址。打開該設備,在設備上選擇助記詞數量;用紙質文件抄寫設備屏幕上出現的助記詞,而后需要通過幾次隨機助記詞確認;設置設備PIN碼并進行確認;至此,用戶在設備上的新地址已經生成完畢。通過上述地址生成流程可以發現,硬件設備確保安全的核心要領在于,助記詞是在未觸網的情況下生成的,從而降低了私鑰泄漏的風險性。相比之下,我們經常使用的網頁錢包以及APP錢包都是需要聯網,再加上有的用戶習慣使用私鑰或助記詞截屏,進一步提升錢包風險。不過,雖然目前硬件設備已經生成了新地址,但在OneKey硬件設備上看不到。幣信方面告訴Odaily星球日報,會在后續版本設備中增加公鑰地址顯示功能。當前階段,用戶需要前往OneKey官網下載應用程序,導入硬件錢包賬戶配合使用。具體來說,用戶下載完APP后,需要打開藍牙搜索OneKey硬件設備,輸入配對PIN碼完成配對,最終導入賬戶。需要注意的是,APP上初次顯示的地址以0x開頭,只支持EVM系區塊鏈;如果需要比特幣、Solana等其他公鏈地址,必須升級錢包固件至相應的版本。根據統計,目前OneKey共計支持36條區塊鏈,基本涵蓋所有主流生態代幣。如果你僅僅想將硬件錢包作為一個不觸網的冷錢包,可以在獲得相應地址后將APP刪除,后續只需要往相關地址轉幣即可——從錢包地址提幣需要經過設備授權。如果你是一個DeFi高玩,需要與各個協議高頻交互,硬件錢包同樣可以滿足需求。比如,用戶可以在MetaMask中通過數據線以及配對PIN碼導入OneKey硬件錢包地址,從而增加硬件錢包地址的靈活性。當然,用戶也可以直接在OneKeyApp中,通過WalletConnect掃描登陸。無論哪種方式,都無需輸入助記詞,降低了風險性。二、硬件錢包的暗坑
CertiK:微軟高危零日漏洞可執行任意代碼,建議用戶使用硬件錢包:金色財經報道,CertiK安全團隊發現,近日,微軟Office中一個被稱為 \"Follina \"的零日漏洞(編號CVE-2022-30190)被發現。攻擊者可使用微軟的微軟支持診斷工具(MSDT),從遠程URL檢索并執行惡意代碼。微軟Office的系列套件和使用MSDT的產品目前仍有可能受該零日漏洞的影響。
由于該漏洞允許攻擊者繞過密碼保護,通過這種方式,黑客能夠查看并獲得受害者的系統和個人信息。這個零日漏洞允許黑客進一步攻擊,提升黑客在受害者系統里的權限,并獲得對本地系統和運行進程的額外訪問,包括目標用戶的互聯網瀏覽器和瀏覽器插件,如Metamask。CertiK安全團隊建議,正確保護你的設備和個人信息。[2022/6/3 4:00:57]
有了硬件錢包并非不等于資產得到100%保障,萬無一失。實際上,在硬件錢包使用中也有許多暗坑。首當其中的當屬私鑰泄漏或丟失。錢包安全防護,最終回歸一個核心問題:如何能夠保證助記詞的安全?放得不夠隱秘,就被人發現,直接盜走資產;放得太隱蔽,又恐怕丟失。近期,分布式資本創始人沈波的個人錢包資產被盜,疑似私鑰泄漏,損失超過4000萬美元。Ripple前首席技術官史蒂芬·托馬斯就曾丟失了自己的IronKey硬件錢包私鑰,里面存有7000多枚比特幣。有一些玩家總結出一些方法可供廣大用戶參考。例如,單詞移位或者替換,所有的a換成b,或者b換成q,使用自己的編碼進行轉換;或者是把助記詞改成不像助記詞的樣子,比如一首詩;甚至有玩家呼吁錢包團隊開發一個小程序,直接讓客戶記錄漢字,隨時方便轉換英文。除了隱藏方式之外,助記詞本身可能也存在一些安全漏洞。去年有用戶反映,OneKey生成的助記詞導入時,并不能恢復原有地址,而后OneKey緊急修復了這一Bug,并表示「沒有用戶遭受損失」。Odaily試驗發現,目前OneKey硬件設備生成助記詞,可以在其他第三方錢包中恢復正確地址。前車之鑒不得不重視,建議用戶可以在生成助記詞后,重置硬件錢包再導入,看看能不能恢復出原有的地址;此外,最好嘗試轉出小額資產,全部操作無誤后再正常使用該硬件錢包。硬件錢包使用中的第三個問題是,虛假APP篡改賬戶權限。目前絕大多數硬件錢包都要與自家APP聯動使用,用戶初次下載時可以掃描說明書的二維碼進入官網下載。雖然在整個聯網導入過程中,并不需要助記詞,但筆者認為這一操作還是增加了硬件錢包的危險性。特別是在后續使用中,一些用戶為了方便,直接在網頁或者應用商店中搜索該APP,也給攻擊者留下可乘之機。有用戶反映,在使用Imtoken轉賬后發現自己的賬戶權限受阻,需要另一個地址同時授權方可執行;此前該用戶曾在網頁端直接下載程序,并在導入賬戶時誤觸給陌生地址進行了授權。最后,對于一些喜歡用硬件錢包與DeFi協議交互的用戶來說,切記過度授權導致資產損失。下面提供一種規避方法,可供參考。用戶可以購買三個硬件錢包,并通過Safe創建一個有彈性的「最小可行」多重簽名加密保險庫;此后,三個錢包的任何一個要想執行交易,都必須得到其中兩個錢包的簽名來確認。即便用戶登錄了一些釣魚網站,導致某一個錢包私鑰泄漏,都不會對其資產造成實際影響。三、哪些硬件錢包可供選擇?
首發 | imKey正式支持Filecoin,成為首批Filecoin硬件錢包:12月1日,隨著imToken2.7.2版本上線,imKey同步支持Filecoin,成為業內首批正式支持FIL的硬件錢包。Filecoin作為imKey多鏈支持的優先級項目之一,成為繼BTC、ETH、EOS和COSMOS四條公鏈后的第五條公鏈。
據悉,imKey團隊已在Q4全面啟動多鏈支持計劃,計劃實現imToken已經支持的所有公鏈項目,本次imKey升級更新,無需更換硬件,不涉及固件升級,通過應用(Applet)自動升級,即可實現imKey對Filecoin的支持及FIL的代幣管理。[2020/12/2 22:52:32]
目前市場有著幾十家硬件錢包廠商,從面向個體消費者到面向企業級用戶不一而足。下面這些錢包案例具有一定的代表性,感興趣的用戶可以選擇一款適合自己的硬件錢包。Ledger比特幣硬件錢包制造商Ledger是數字貨幣安全領域技術領先的公司之一,能為消費者和企業提供值得信賴的硬件。Ledger錢包常年占據全球兩大最暢銷硬件錢包的地位,目前旗下有兩款產品LedgerNanoX以及NANOSPLUS,此外還有面向家庭用戶的組合套裝。Ledger硬件錢包支持27種加密貨幣和1,500多種資產,例如BTC、ETH、XRP和XLM等等。用戶查看錢包和發送交易時,硬件錢包需要與軟件錢包配合才能使用,可以在Windows、macOS和Linux設備以及iOS、Android移動設備上使用;它還配備了USBType-C線和藍牙,使設備連接更加輕松快捷。基于其硬件設備,用戶還使用其他團隊開發的軟件錢包,例如MyEtherWallet、MetaMask等。TrezorTrezor是一種高科技的數據加密存儲器。該產品產地捷克。這個品牌是業內公認的研發最早最謹慎最安全的加密存儲器,已經被全球性數字貨幣玩家驗證過的可靠品牌,公司記錄優秀,軟件支持豐富。Trezor的安全模式是基于零信任的原則。零信任原則就是假定任一部分都有可能被攻擊成功的安全系統。Trezor旗下有兩款錢包:TrezorModelT以及TrezorModelONE,前者售出超過30萬個,后者售出7.5萬個。以TrezorModelT為例,其支持超過1,200種加密貨幣,也配備USBType-C線,可連接到計算機或智能手機,還支持各種應用程序和軟件。最關鍵的是,TrezorModelT擁有觸屏功能,非常適合初學者;配有MicroSD卡槽,可以用來為PIN碼加密。缺點是,該產品應用程序目前不支持iOS和Windows手機。OneKey目前,OneKey有OneKeyClassic、OneKeyMini、OneKeyLite以及OneKeyKeytag等多款產品。OneKey硬件錢包目前支持36條區塊鏈,基本涵蓋所有主流生態代幣;兼容OneKey插件和MetaMask連接硬件錢包參與DeFi,是用戶參與DeFi必備的硬件錢包。OneKey創始人王一石曾表示,OneKey將每年持續增加約40條新鏈,在最短的時間內覆蓋市場上的所有公鏈,幫助用戶質押和存儲他們的加密資產和NFT。今年9月,OneKey宣布完成約2000萬美元A輪融資,由Dragonfly、RibbitCapital領投,FrameworkVentures、Sky9Capital、FoliusVentures、EtherealVentures、Coinbase、Santiagoroel、Fishkiller參投。KeystoneKeystone是MetaMask的官方合作硬件錢包,也能夠適配Solflare、SenderWallet,、XRPToolkit等其它主流軟件錢包,是老牌硬件錢包。標準版和專業版的售價分別是119和169美元。Keystone錢包由LixinLiu創立,前身是CoboVault,LixinLiu于2021年6月1日離開Cobo繼續Keystone錢包的開發。BitBoxBitBox錢包由瑞士設計,被稱為最適合初學者的加密貨幣硬件錢包之一。目前BitBox有兩個版本:支持多種加密貨幣的Multi版本和僅針對BTC的Bitcoin-only版本,價格一樣都是133美元。它使用電容式觸摸傳感器實現設備交互和使用。BitBox02還具有簡單的備份和恢復功能,使用microSD卡從設備中即時管理備份。它還提供選項,向用戶顯示24字恢復詞或助記詞。BitBox還配備U2F支持和安全芯片,保護設備和加密貨幣資金免受物理篡改,與Windows、macOS、Linux和Android設備兼容。KeepKeyKeepKey是KeepKey公司開發的硬件錢包,售價49美元。該公司于2017年收購了網頁交易平臺ShapeShift。因此,KeepKey的主要功能是與ShapeShift集成。雖與ShapeShift深度集成,但用戶仍然可以使用其他錢包軟件。雖然原生集成ShapeShift是一大優勢,但KeepKey也存在不足之處。如需在Shapeshift交易資產,應注冊賬戶并完成KYC認證。如果只想發送和接收加密貨幣,僅需使用郵箱注冊賬戶。如果完全不想創建Shapeshift賬戶,用戶可以借助KeepKey客戶端的瀏覽器插件,使用其基礎功能或選擇其他加密貨幣錢包軟件。SafePal作為硬件錢包市場的新秀,SafePal得到幣安孵化器、TrustWallet、LitecoinFoundation等機構的支持。目前旗下有SafePalS1,售價39.9美元。這款錢包外形酷似MP3播放器,配備一個攝像頭,用于在簽名交易時掃描二維碼。除了電池充電與接收更新外,SafePal無需進行任何有線連接。設備幾乎不聯網,阻斷了諸多攻擊途徑。然而,使用體驗也因此受到影響,支付過程比較繁瑣。用戶可將錢包與智能手機App配對,二者通過二維碼傳遞信息。不過據用戶反應,SafePal較為脆弱易碎,用戶應謹慎備份自己的助記詞。NGRAVENGRAVE提供完整的自托管解決方案,包括無連接和最高安全認證硬件錢包ZERO,將用戶實時連接到區塊鏈的移動應用程序LIQUID以及加密和可恢復的密鑰備份GRAPHENE。ZERO的外觀靚麗,配備觸屏,價格也略高,官方售價為398歐元。就在本月,BinanceLabs宣布戰略投資硬件錢包制造商NGRAVE,并將領投其即將進行的A輪融資。Odaily星球日報消息,今年1月,NGRAVE完成600萬美元種子輪融資,WoodstockFund、MorningstarVentures、DFG、SparkDigitalCapital、MoonrockCapital、MapleblockCapital等參投。
研究人員:攻擊者能夠入侵加密貨幣硬件錢包,目前漏洞已修復:5月19日訊,Ledge研究人員證明可以對硬件錢包制造商Coinkite和Shapeshift產品進行攻擊,這可能會讓攻擊者找到保護這些錢包的PIN碼。目前漏洞已經被修復,兩次黑客攻擊都需要對設備進行物理訪問,這從一開始就將危險降到最低。但Ledger認為,保持硬件錢包的最高標準還是值得的。
Ledger首席技術官、Donjon安全團隊負責人Charles Guillmet表示,“如果你愿意,你可以在一個硬件錢包里放入數百萬甚至數十億美元。因此,如果攻擊者能夠物理訪問硬件錢包,而錢包又不安全,那么這絕對是一件大事。一些加密貨幣交易所甚至將硬件錢包用于冷存儲。”
Shapeshift在2月份通過固件更新修復了KeepKey錢包中的一個漏洞。Coinkite的Coldcard Mk2錢包中的硬件缺陷仍然存在,但在該公司目前的Coldcard型號Mk3中已修復。研究人員將在6月份的法國安全會議SSTIC上展示他們對Mk2的攻擊。[2020/5/19]
韓國加密貨幣對比特幣硬件錢包需求正在迅速增長:韓國ETNews安全研究員表示,韓國用戶對比特幣硬件錢包的需求正在迅速增長,因為該國用戶正在避免讓加密貨幣交易所來存儲他們的資金。在過去兩年里,即使是韓國最大的加密貨幣交易平臺,包括Bithumb在內,也遭受了幾次數據泄露和黑客攻擊。在美國和歐洲等其他地區,迄今只有少數交易所沒有遭遇重大黑客攻擊。由于中心化錢包和加密貨幣交易所的局限性和弱點,韓國的許多用戶開始喜歡硬件錢包和冷錢包,而不是中心化的熱錢包。在過去的一年里,至少有三種主要的加密貨幣硬件錢包已經投放到本地市場,包括Penta Cryptowallet, KeyPair和TouchxWallet。[2018/3/19]
硬件錢包服務商Keepkey近日已在軟件客戶端加上了新增了比特幣現金服務:硬件錢包服務商Keepkey近日已在軟件客戶端加上了新增了比特幣現金服務,亞洲地區也新增了兩家支持比特幣現金交易所。不僅如此,印度 4500 多家商戶很快也將接受比特幣現金支付。Keepkey 是一家硬件錢包制造商 ,于 2017 年 8 月被數字貨幣交易所 Shapeshift 收購。Keepkey 宣布比特幣現金現已獲得客戶官方支持。開發人員解釋:“我們對最新的 BCH 測試客戶端(4.5.11)進行了全方位的測試,現在已經非常成熟。”[2018/1/22]
Odaily星球日報譯者|念銀思唐MikeNovogratz旗下公司GalaxyDigital已經贏得了對GK8的收購拍賣.
1900/1/1 0:00:00經Odaily星球日報不完全統計,12月5日-12月11日當周公布的海內外區塊鏈融資事件共26起,較前一周有一定減少;已披露融資總額約為2.3億美元,較前一周有小幅下降.
1900/1/1 0:00:00近日,知名空頭機構CitronResearch在官方推特稱,FBI沒有對民主黨的第二大捐款人進行調查,放任一個人如此近的接近政府內部獲得影響力,甚至沒有檢查納稅申報,這存在著國家安全的問題.
1900/1/1 0:00:00本文基于最新以太坊路線圖進行內容注解,旨在為讀者了解以太坊路線圖上各個部分提供入口點,每一部分都做了簡單的概要介紹.
1900/1/1 0:00:00作為日交易量達7.7億美元、擁有400多萬用戶的UniSwap來說,進軍NFT市場賽道也意味著新一輪攻防戰的開始,眾多平臺一時都擔憂對方是否會拋出類似SudoSwap那樣初始即王炸的好牌.
1900/1/1 0:00:00美元穩定幣USDC發行方Circle在合規方向又有新進展,2022年11月16日,Circle宣布ApplePay目前已經支持Circle認定的合規企業內實行.
1900/1/1 0:00:00