12月21日,黑客網站Raidforums公開了從硬件錢包制造商Ledger中竊取的100多萬封客戶電子郵件。Ledger隨后表示“確實可能是我們2020年6月電子商務數據庫的內容”。
硬件錢包盡管主打安全牌,但是硬件錢包漏洞和丟幣事件卻也從未銷聲匿跡。隨著比特幣逼近30000美元,用戶繼續安全的地方來存儲自己的比特幣,而硬件錢包真的安全嗎?
12月30日,周三,下午2:00,HolderWallet負責人、巴比特UED總監阿本、庫神錢包商務VP吳美霖做客鏈節點進行AMA,教你如何選擇一款適合自己的硬件錢包。
以下是本場AMA的精彩部分:
硬件錢包采用開源普通芯片Vs.和安全芯片問題,哪個更重要些?
阿本:
開源不等于安全,開源只是自證清白的手段。在硬件錢包都屬于完全隔絕網絡的情況下,其實主要考慮的是如何不被「物理攻破」從而獲取錢包里的私鑰。在「物理攻破」層面,采用安全芯片會更加安全。
Ledger前CEO:Ledger產品爭議不是技術失敗而是公關失敗:5月19日消息,針對Ledger產品引發的爭議,Ledger前首席執行官éric Larchevêque表示,“ Ledger產品造成的可怕混亂局面不是技術上的失敗,而是公關上的失敗,許多人認為Ledger是一種無需信任的解決方案,但事實并非如此。要使用Ledger的產品,必須對Ledger給予一定程度的信任。Ledger的安全模型并未改變,這些設備仍然安全,沒有后門,也沒有陰謀。
此前報道,硬件錢包Ledger推出基于ID的密鑰恢復服務“Ledger Recover”,引部分用戶反對。[2023/5/19 15:13:46]
打個比方,如果硬件錢包是我們為用戶搭建的「私人金庫」,開源應用層代碼其實是把「金庫圖紙」交給所有人,從而告訴你們該金庫并沒有保留用戶所不知道的「后門」,但同時增加了不法之徒想要通過圖紙了解金庫結構從而采用其他方式進入金庫的可能性。而安全芯片可以理解為「私人金庫」里為你量身定做的軍工級「保險箱」,里面存儲著你的「私鑰」,這樣哪怕黑客進入了你的私人金庫,但是沒有保險箱的密碼,他也永遠拿不走你的「私鑰」。
Ledger董事長兼CEO:現在不像是Crypto熊市:金色財經消息,Ledger董事長兼首席執行官Pascal Gauthier在其公司舉行的一個小組討論會中表示,“現在不像是Crypto熊市,對于宏觀經濟來說,現在這是一場大屠殺”。
另外加密貨幣交易所Kraken的增長營銷總監Dan Held在小組討論會中表示,“加密貨幣的冬天和其他金融市場冬天一樣嚴酷”,并補充說,“冬天天氣會很冷,但我仍然像以往一樣看好比特幣”。(techcrunch)[2022/6/28 1:35:09]
所以其實在「金庫圖紙」都公布的情況下,采用「安全芯片」相當于給用戶在「私人金庫」里再加了一個經過計算機安全國際標準認證的「保險箱」,成本雖然高了,但是更安全了。
吳美霖:
安全芯片和錢包開源是不能兼顧的,目前庫神錢包也是因為我們使用的是安全芯片,而安全芯片提供的算法致使我們無法開源。安全芯片和普通芯片的差別還是很大的。我們都在說數字貨幣加密,而加密算法背后最重要的核心就是隨機數。安全芯片可以生成真隨機數,隨機性大于非安全芯片生成的偽隨機數。所以我們權衡利弊的時候,一定要保留安全芯片。
印度科技公司借助HyperLedger區塊鏈平臺開發應用:4月27日消息,印度科技公司Smart Sight Innovation計劃借助HyperLedger區塊鏈平臺,開發簡化車輛維修和檢查文書工作的應用程序。(Cointelegraph)[2020/4/27]
開源=絕對去信任?你手上的硬件錢包的代碼真的是廠商說的代碼嗎?
吳美霖:
開源與不開源決定不了錢包的安全性,開源就是把代碼公開,更透明一些,至于代碼以及到手的硬件錢包是否采用的源代碼用戶是不得而知的,除非像你說的那樣把硬件拆下來拿去反編譯一下。對沒有過硬技術的普通用戶來說,還是選擇靠譜的品牌錢包比較重要。
4.HolderWallet的雙芯片架構智能硬件錢包,是否可以理解同時具備智能錢包和硬件錢包的優點?智能硬件錢包會是以后錢包的方向嗎?
阿本:
HolderWallet采用雙芯片架構,「安全芯片」保障私鑰的安全,「AI芯片」優化產品體驗產品,所以同時兼顧了安全和智能。
Power Ledger在美國西北大學進行商業部署:據Power Ledger官方消息,作為與Energy Blockchain Network合作項目的一部分,Power Ledger在美國西北大學埃文斯頓校區進行了相關的商業部署。Power Ledger平臺將使西北大學能夠通過使用預先存在的儀表,在校園內和校園之間交易清潔能源,無需硬件、軟件或訂閱費用。西北大學的工程管理碩士課程的學生持續提供每月測量和驗證,評估清潔能源區塊鏈應用。[2018/5/1]
我認為以后的硬件錢包能做更多事情,而不僅僅是「存儲」,所以我們稱HolderWallet為「第一款智能硬件錢包」,再加上今年Defi的爆發作為契機,以后的智能硬件錢包會有更多可能性。
DeFi保險類COVER最近被黑客侵入,價格甚至一度歸零。硬件錢包如何解決這類問題?
阿本:
COVER這個案例特別典型,它的代碼就是全開源的,但正是因為開源,讓黑客發現了它的漏洞,從而鑄造了基本無限量的COVER代幣,這就是為什么「開源不等于安全,開源只是自證清白的手段」。
加密貨幣錢包創業公司Ledger SAS獲得7500萬美元投資:Ledger SAS是一家為比特幣和其他加密貨幣生產電子錢包的創業公司,目前該公司已經從包括Draper Esprit Plc在內的公司籌集了6100萬歐元(7500萬美元)。該公司生產的USB軟件狗(硬件加密鎖)包含一個用于安全存儲和攜帶加密貨幣密碼的芯片。該公司正在籌集資金用來支付招聘,研究和開發費用,并為公司擴張提供資金。這家創業公司2016年的收入為60萬歐元,2017年的收入則達到了4600萬歐元。[2018/1/19]
而HolderWallet采用的「雙芯片架構」分工明確:「AI智能芯片」負責應用層的邏輯交互,而「安全芯片」只負責生成并存儲用戶的「私鑰」以及在使用過程中的「簽名」,而CCEAL6+是由國際權威機構認證的安全級別,保障了私鑰的生成過程足夠隨機、「存儲」及「簽名」的方式足夠安全。
CC是指信息技術安全評估標準,這是基于計算機安全認證的國際標準,而EAL是經過CC標準評估后給出的安全級別,目前共有1-7級,越高越安全。到目前為止,HolderWallet采用的CCEAL6+安全芯片已經是業內最高標準,達到了軍工級別。
安全芯片提供了增強型的安全特性,支持電氣環境監測,可對抗功耗分析和故障注入等。具備安全芯片隔離區內生成密鑰樹種子,加密存儲私鑰,隔離區離線簽名;具備防暴力撞擊和暴力自毀保護,防供應鏈攻擊、女傭攻擊和字典攻擊,防系統漏洞和中間人攻擊。
芯片內置了物理真隨機發生器,通過采集量子隨機運動狀態生成無規律的真隨機數,摒棄一切軟件錢包依賴的偽隨機函數和算法,真正做到去偽存真,讓規律碰撞攻擊無從下手。
硬件錢包性價比本來就不高,安全芯片更是推高了成本。即便有硬件錢包,總還要把助記詞備份在卡片上吧,明文卡片助記詞,也存在像硬件錢包一樣被盜的概率吧,就像木桶定律,安全的最大短板不是卡片上備份的助記詞嗎?安全芯片在性價比綜合考慮下真的有那么必要嗎?
吳美霖:
安全芯片的作用是安全合成以及儲存私鑰,以及保證密碼的隨機性,是重中之重。所以安全芯片是大前提,當然助記詞也要好好保管。
阿本:
1、增加安全芯片確實會提升硬件錢包成本,但我認為硬件錢包的本質就是「最大限度地保障用戶私鑰安全」,所以在這個前提下,這些成本物超所值。
2、「助記詞」確實是最核心需要用戶保護的「阿喀琉斯之踵」,所以我一直認為其實保護好自己的數字資產不是一個「安全問題」,而是一個「社會工程學問題」,我們能夠保證存儲在HolderWallet里的「私鑰」絕對安全,但是保管好「助記詞」這件事,需要用戶層面加以更多關注。核心理念就像三體里所說的「藏好自己,做好清理」。
事物發展的方向永遠都是化繁為,市面上也出現了軟件冷錢包,比如Ownbit和ParitySigner這種,便宜,安全級別類似且可實現更復雜的功能,比如多簽冷錢包。硬件錢包未來需要如何發展才能保持市場競爭力?
阿本:
每種錢包都有自己的特定用戶,確實并非所有用戶都需要考慮使用硬件錢包,在自身「安全意識」足夠健壯的情況下,任何方式都可能是一個好方法,哪怕只是一張紙:
而硬件錢包HolderWallet實際上是希望能夠幫助那些自身「安全意識」不那么健壯,或者是希望自己資產得到「最大限度安全保障」的用戶存儲他們的私鑰。
而要得到「最大限度安全保障」,光靠軟件是不夠的,還需要底層硬件做支撐,這是硬件錢包的根本,像您說的,「事物發展的方向永遠都是化繁為簡」,在安全這層,我們希望盡量恒定所有「繁雜的變量」,才能把安全做到「極致地簡單」。
最近BTC價格創新高,為幣圈吸引了一大批新人。小白用戶該如何存儲數字資產?硬件錢包是不是門檻太高了?
吳美霖:
很多人都說我是新人沒必要了解錢包或者用不到錢包,其實安全對于我們來說從來都不分金額大小,積小成多,每一步資金的積累都離不開安全的防護。我給大家的建議是在買幣之前一定要先了解行業的發展及儲存數字資產的工具,這樣有了幣才能留住幣,才算是把錢牢牢地抓在自己手里。
阿本:
正好相反,硬件錢包作為一個「存儲數字資產」的工具而言,它的門檻并不高。因為核心流程就是生成私鑰——備份助記詞——然后把資產轉賬給您在硬件中生成的錢包地址里,不用擔心是否因為聯網被人盜取私鑰,不用擔心是否把資產存在交易所會出現第二個「門頭溝事件」。
而您唯一要做的,就是「藏好自己,做好清理」,做時間的朋友。
INSIGHT區塊有幸邀請到加密藝術家Suryanto參加我們的獨家專訪,請大家與我們一起來了解一下Suryanto吧! 受邀加密藝術家SuryantoQ1:請您介紹一下您的藝術創作經歷.
1900/1/1 0:00:00BTC行情分析 今天有事兒,簡述一下。昨天有朋友說,接下來ETH是不是龍頭,這朋友短線感覺很好,但是我們從大局觀說,BTC如果出現問題,ETH再怎么阿爾法屬性都不可能獨善其身.
1900/1/1 0:00:00Bitcoinwin數字貨幣行情顯示,上周BTC行情是一個主跌行情。周初兩天高位橫盤于37000附近,上攻38000失敗,隨即行情開啟下跌模式,由最高的37880下跌至最低的28888,跌去了近.
1900/1/1 0:00:00\n\n 北京時間周一下午,比特幣持續下跌,跌穿5萬美元后迅速下跌至4.8萬美元,24小時跌幅超過17%,主流數字貨幣紛紛跳水,在突如其來的大額跌幅下,近24小時內共有36萬多人爆倉.
1900/1/1 0:00:00BTC行情分析 BTC繼續維持日線底部區間31500震蕩,基本面沒有變化,量能縮小。下跌風險基本解除,未來中短期,繼續在我們之前的預判分析中,繼續在該日線區間震蕩整理.
1900/1/1 0:00:00MinerX獎勵計劃吸引著分布在世界各地的中小型礦工,以幫助改善Filecoin在網絡初期的經驗和生產力.
1900/1/1 0:00:00