金色財經 區塊鏈1月12日訊? 目前加密貨幣和區塊鏈應用程序對普通用戶來說的最大挑戰之一,其實是安全性:我們如何防止用戶的資金丟失或被盜?資金丟失和盜竊是一個嚴重的問題,通常會使無辜的區塊鏈用戶損失數千美元,在某些情況下甚至會導致他們大部分或全部凈資產消失殆盡。
過去多年來,加密貨幣社區已經提出了許多解決方案,比如:紙錢包、硬件錢包、還有我個人比較推薦的多簽錢包。實際上,這些錢包的安全性已經有了顯著改善。但是,這些解決方案依然存在各種缺陷——有時提供的防盜和防丟保護遠遠少于用戶實際需要的,有時流程笨拙且難以使用,有時兩者兼而有之,導致不少加密貨幣安全解決方案的采用率極低。但是最近,出現了一個更好的替代方案:一種稱為社交恢復錢包的新型智能合約錢包。與以前的同類產品相比,這種錢包可以提供更高的安全性和更好的可用性,但是想要輕松且廣泛地部署此類錢包,依然還有較長一段路要走。這篇文章將介紹什么是社交恢復錢包,以及為什么這種錢包非常重要,還有我們需要如何且應該如何在整個生態系統中更廣泛地采用社交恢復錢包。
錢包安全是一個很大的問題
實際上,錢包安全性問題從一開始就一直困擾著區塊鏈生態系統。早在2011年,當時比特幣幾乎是市場上唯一的加密貨幣,但已經有不少猖狂的盜竊案件導致用戶損失了。確實,在創建以太坊之前,我曾作為Bitcoin Magazine聯合創始人和作家寫過一篇文章,詳細介紹了當時已經發生的駭客事件,以及用戶遭受損失和盜竊有多么恐怖。
這是一個示例:
太平洋夏季時間昨晚9點左右,我單擊了一個鏈接以轉到CoinChat [.]freetzi[.]com——并被提示運行Java。我照做了(因為我認為這是一個合法的聊天室),但是什么也沒發生。我關上窗戶,什么也沒想。大約14分鐘后,我打開了我的bitcoin-qt錢包,發現一筆交易完成,幾乎把我整個錢包的錢都轉移到錢包1Es3QVvKN1qA2p6me7jLCVMZpQXVXWPNTC。
還有一個例子,某人的損失為2.07 BTC,當時價值300美元,但現在已超過7萬美元,讓我們來看看:
2011年6月,在一個未知入侵者以某種方式直接訪問了他的計算機后,Bitcointalk成員“allinvain”損失了25,000 BTC(當時價值500,000美元)。攻擊者能夠訪問allinvain的wallet.dat文件,并通過從allinvain計算機直接發送交易,而且還能輕松上載wallet.dat文件并清空計算機上的錢包記錄。
金色財經行情播報丨BTC劇烈波動 多頭力量尚顯不足:據火幣行情顯示,昨日晚間至今日凌晨BTC行情出現劇烈波動,最高拉升至9346.27USDT后回落,凌晨3點迅速下跌,觸及9158.74USDT后迅速反彈,局部價格徘徊在9270USDT附近。日線圖BTC目前從9230-9320USDT區間構筑平臺,均線在持續震蕩過程中聚集,4小時圖在劇烈波動過程中均線聚集,1小時圖局部上升通道未能放量開啟,多頭力量尚顯不足。截至10:0,主流幣的具體表現如下:[2020/7/13]
以目前的價值計算,這筆損失高達近10億美元。但是,盜竊并不是唯一的問題。丟失私鑰也會帶來損失,以斯特凡·托馬斯(Stefan Thomas)為例:
比特幣開發人員斯特凡·托馬斯的錢包有三個備:一個是加密的USB記憶棒,一個是Dropbox帳戶,還有一個Virtualbox虛擬機。但是,他弄丟了其中兩個,而且還忘記了第三個密碼,從而永遠失去了7,000 BTC(當時價值125,000美元)的訪問權限。對此,斯特凡·托馬斯的回應是:“ 自那時起,我一直致力于創造更好的用戶體驗。”
一項對比特幣生態系統的分析研究表明,加密貨幣市場每天可能丟失1500個BTC,這是比特幣用戶交易費用支出的十倍以上,并且這些年來累計丟失的比特幣數量已經多達總供應量的20%。所以,我們必須面對一個不可避免的事實:錢包安全問題是非常重要的,我們不應低估它。
如果從社會和心理分析的話,就很容易看出為什么錢包安全性容易被人們低估,主要原因是:人們很自然地會擔心在總愛評判的公眾面前顯得自己不小心或愚蠢,因此很多人會把自己資金被黑的經歷隱藏起來。資金損失更為嚴重,因為人們普遍認為“除了你自己,沒有人可以責怪”。但現實是,包括區塊鏈在內的數字技術的全部意義在于,使人類更容易地從事非常復雜的任務,而不必付出極大的精神努力,也不必生活在不斷害怕犯錯的恐懼之中。如果一個生態系統對損失和失竊的唯一答案是一個12步教程、不太安全的措施以及不那么偶然的半諷刺性的“對于你的損失感到抱歉”這樣的方案,那么它將很難被廣泛采用。
因此,在不要求所有加密貨幣用戶將個人安全變成全職愛好的情況下,減少損失和盜竊數量的解決方案對業界來說是非常有價值的。
單靠硬件錢包還不夠好
硬件錢包經常被吹捧為加密貨幣資金管理的最佳技術。硬件錢包是一種專用硬件設備,可以連接到您的計算機或電話(例如,通過USB),并且包含專用芯片,該芯片只能生成私鑰和簽署交易。交易將在您的計算機或電話上啟動,必須在硬件錢包中確認后才能發送。私鑰保留在您的硬件錢包中,因此,侵入您的計算機或電話的攻擊者無法耗盡資金。
金色財經挖礦數據播報 | BSV今日全網算力上漲1.91%:金色財經報道,據蜘蛛礦池數據顯示:
BTC全網算力106.471EH/s,挖礦難度15.78T,目前區塊高度635772,理論收益0.00000817/T/天。
ETH全網算力186.716TH/s,挖礦難度2350.12T,目前區塊高度10312458,理論收益0.00819479/100MH/天。
BSV全網算力2.029EH/s,挖礦難度0.27T,目前區塊高度640416,理論收益0.00044356/T/天。
BCH全網算力2.766EH/s,挖礦難度0.38T,目前區塊高度640652,理論收益0.00032532/T/天。[2020/6/22]
硬件錢包是一個重大的改進,它們肯定可以保護Java聊天室的受害者,但并不完美。我看到了硬件錢包的兩個主要問題:
1、供應鏈攻擊:如果您購買硬件錢包,那么您會信任許多參與生產錢包的參與者-設計錢包的公司,生產錢包的工廠以及所有可能將其替換為錢包的參與運輸的人假的。硬件錢包可能會吸引此類攻擊:資金被盜與被盜設備數量之比非常高。值得稱贊的是,諸如Ledger之類的硬件錢包制造商已經采取了許多保護措施來防范這些風險,但是仍然存在一些風險。從根本上說,硬件設備不能像開源軟件那樣進行審計。
2、單點故障:如果有人在站在您的肩膀后抓住您輸入PIN后立即偷走了您的硬件錢包,他們就可以竊取您的資金。如果您丟失了硬件錢包,那么您將損失您的資金-除非硬件錢包在設置時生成并輸出備份,但是正如我們將看到的那樣,它們都有自己的問題...
助記詞也不夠好
許多錢包(無論是硬件錢包還是軟件錢包)都有一個設置過程,在此過程中,它們會輸出一個助記符短語,該短語是人們可理解的12到24個單詞的錢包根私鑰編碼,舉個助記詞短語例子:
vote dance type subject valley fall usage silk
essay lunch endorse lunar obvious race ribbon key
already arrow enable drama keen survey lesson cruel
如果您丟失了錢包但擁有助記詞,則可以在設置新的錢包以恢復帳戶時輸入該詞,因為助記詞包含根密鑰,可以從中生成所有其他密鑰。
金色財經挖礦數據播報 | BSV今日全網算力上漲1.83%:金色財經報道,據蜘蛛礦池數據顯示:
ETH全網算力173.381TH/s,挖礦難度2176.78T,目前區塊高度9964529,理論收益0.00810224/100MH/天。
BTC全網算力111.943EH/s,挖礦難度15.96T,目前區塊高度628081,理論收益0.00001575/T/天。
BSV全網算力1.499EH/s,挖礦難度0.20T,目前區塊高度632675,理論收益0.00060055/T/天。
BCH全網算力1.817EH/s,挖礦難度0.25T,目前區塊高度632855,理論收益0.00049544/T/天。[2020/4/29]
助記詞短語有助于防止丟失,但對于防盜并沒有任何作用。更糟糕的是,它們增加了一個新的盜竊媒介:如果您具有標準的硬件錢包+助記符備份組合,那么盜用您的硬件錢包+ PIN或助記符備份的某人可以竊取您的資金。此外,保持助記詞短語而不是不小心將其丟棄本身本身就是一項不費吹灰之力。
如果將短語分成兩半并給朋友一半,雖然可以減輕被盜風險,但是
(i)幾乎沒有人真正推廣這種行為;
(ii)存在安全問題,因為這個助記詞短語很短(128位),那么就有可能存在一個老練而有動機的攻擊者,如果其拿到了其中一半的助記詞短語,他就可能通過暴力碰撞可能的組合來找到另一部分助記詞短語;
(iii)進一步增加了精神負擔。
所以,我們需要的是什么?
我們需要的是一個滿足以下三個關鍵條件的錢包設計:
1、沒有單一的故障點:理想情況下,沒有一起運送的事物的集合,如果被盜,攻擊者也無法簡單地訪問你的資金,或者如果丟失,則可以拒絕使用您的資金;
2、低心理負擔:盡可能不應該要求用戶學習陌生的新習慣或付出精神努力以始終記住遵循某些行為模式。
3、最大交易便利性:大多數常規活動所需要的精力不應比常規錢包多得多(例如Status、Metamask等);
多重簽名很棒!
早在2013年,解決這些問題的最佳技術就是多重簽名(multisig)。你可以擁有一個存在三把密鑰的錢包,但只需要其中任意兩把密鑰簽名,你就可以發送交易。
分析 | 金色盤面:EOS/USDT 結束調整重拾升勢:金色盤面綜合分析: EOS/USDT 昨天見頂后回落整理,在4.9美元附近得到支撐,隨后再次拉升。值得注意的是,如果不能創出新高,則5浪失敗,而新高必須有足夠的成交量支持,否則有騙線的可能,因此要注意控制倉位。[2018/8/19]
這項技術最初是在比特幣生態系統中開發的,但優秀的多重簽名錢包(例如Gnosis Safe)現在也適用于以太坊。多重簽名錢包在組織內部是非常成功的:以太坊基金會使用了一個4-of-7多重簽名錢包來存儲資金,以太坊生態系統中的許多其他組織也是如此。
而對于個人用戶來說,使用多重簽名錢包可能存在的一個主要問題是:誰持有資金,以及如何批準交易?最常見的公式是“兩個易于訪問但獨立的密鑰是由你掌握的(筆記本或手機),第三個是更安全但易訪問的備份,其離線存放或由朋友或機構托管。”
這是相當安全的:即便其中一個設備丟失或被盜,你也可以訪問到自己的資金。但安全性遠不是完美的:如果你能偷別人的筆記本電腦,偷他們的手機通常也沒有那么難。可用性也是一個挑戰,因為現在每筆交易都需要使用兩個設備進行兩次確認。
社交恢復是更好的選擇
這讓我想到了我最喜歡的錢包保護方法:社交恢復。社交恢復系統的工作原理如下:
1、只有一個“簽名密鑰”可用于批準交易;
2、至少有3個或更多“守護人”,其中多數人就可合作更改帳戶的簽名密鑰。
簽名密鑰可以添加或刪除守護人,但會有一個延遲(時間通常是1-3天)。
在所有正常情況下,用戶都可以像普通錢包一樣簡單地使用其社交恢復錢包,并使用其簽名密鑰對消息進行簽名,從而使每個已簽名的交易都可以通過一次確認點擊快速完成,就像在“傳統”錢包(如Metamask)中一樣。
如果用戶丟失了簽名密鑰,那么社交恢復功能就會啟動。用戶可以直接與監護人聯系,要求他們簽署一項特殊交易,以將錢包合同中注冊的簽名公鑰更改為新的簽名。這很容易:他們可以簡單地轉到諸如security.loopring.io之類的網頁,登錄,查看恢復請求并對其進行簽名。對于每個監護人而言,這與進行Uniswap交易一樣容易。
金色獨家評論 黃震:推進區塊鏈產業發展不可碰觸金融監管紅線:6月14日13:59,重慶市經濟和信息化委員會在其官網發布《我市五大舉措積極推進區塊鏈產業發展》一文。“組建區塊鏈數字資產交易所”是官方第一次表態將組建區塊鏈數字資產交易所,消息立即在圈內引爆。當天晚上18:32,有消息稱,央行總部剛剛發出內部通知,將馬上與地方政府溝通,立即叫停該項目,據稱該決策來自頂層決議,消息可靠性很大。金色財經查詢發現,在重慶市經濟和信息化委員會官網上,該內容已經刪除。中央財經大學教授、金融法研究所所長、中國首個區塊鏈技術與應用協會副會長黃震分析稱:“前段時間習總書記講話提到兩次區塊鏈,重慶經信委本想趁勢而起,加大區塊鏈技術和產業的支持力度。但數字資產交易所涉及金融監管問題,去年以來中央已不斷申明:所有金融業務必須納入監管;所有的金融機構必須牌照管理。正當央行互聯網金融風險整治將重點放在清理數字貨幣交易所之際,重慶經信委的原有設想和表述與中央金融監管政策有所沖突,涉及碰觸紅線,有關方面應該是及時認識到了這一點,應該會做出更準確表述。”[2018/6/15]
有許多可能的選擇供您選擇作為監護人。三種最常見的選擇是:
1、錢包持有者自己擁有的其他設備(或紙助記符);
2、朋友和家人;
3、機構會在收到您的電話號碼或電子郵件確認后簽署恢復消息,或者在高價值的情況下通過視頻通話來驗證您的身份。
監護人很容易添加:您只需輸入他們的ENS名稱或ETH地址即可添加監護人,盡管大多數社交恢復錢包都要求監護人在恢復網頁上簽署交易以同意添加。在任何設計合理的社交恢復錢包中,監護人無需下載和使用同一錢包;他們可以簡單地使用現有的以太坊錢包,無論哪種錢包。鑒于添加監護人的便利性很高,如果您很幸運您的社交圈已經由以太坊用戶組成,我個人更希望監護人數量多(最好是7個以上),以提高安全性。如果您已經有了一個錢包,那么就不需要監護人不斷努力:您可以通過現有的錢包進行任何恢復操作。如果您不認識許多其他活躍的以太坊用戶,那么最好相信數量較少的監護人。
為了減少攻擊監護人和串通的風險,不必公開了解您的監護人:實際上,他們不需要知道彼此的身份。這可以通過兩種方式來完成。首先,代替將監護人的地址直接存儲在鏈上,可以將地址列表的哈希存儲在鏈上,并且錢包所有者只需要在恢復時發布完整列表即可。其次,可以要求每個監護人確定性地生成一個新的單一目的地址,以用于特定的恢復。除非實際需要恢復,否則他們實際上不需要發送任何具有該地址的交易。為了補充這些技術保護,建議選擇來自不同社會圈子的各種各樣的監護人(理想情況下包括一個機構監護人);這些建議一起使監護人很難同時受到攻擊或串通。
如果您死亡或永久喪失工作能力,這將是一項社會認可的標準協議,監護人可以公開宣布自己,以便在這種情況下,他們可以找到彼此并追回您的資金。
社交恢復錢包不是背叛,而是“加密價值”的一種表達。
對于使用任何形式的多重簽名,社交恢復或其他形式的建議的一種常見回應是,該解決方案可以追溯到“信任人們”的想法,也就是對區塊鏈和加密貨幣行業價值的背叛。雖然我理解了為什么人們乍看之下會想到這一點,但我還是認為,這種批評源于對加密技術的基本誤解。
對我而言,加密貨幣的目標絕不是消除對所有人的信任。相反,加密的目的是使人們能夠使用加密和經濟構建塊,從而使人們有更多選擇信任的對象,并進一步使人們建立更多受限的信任形式:賦予某人代表您做某事的權力沒有賦予他們做任何事情的權力。從這種角度來看,多重簽名和社交恢復是這一原則的完美表達:每個參與者對接受或拒絕交易的能力都有一定的影響,但是沒有人可以單方面轉移資金。與必須由一個人或鑰匙單方面控制資金的情況相比,這種更復雜的邏輯可以使設置安全得多。
這個基本的想法(應謹慎地使用人的輸入而不是直接丟掉它)是有效的,因為它可以很好地與人腦的優缺點相適應。人腦非常不適合記住密碼和跟蹤紙錢包,但是它是用于跟蹤與其他人的關系的ASIC碼。
對于普通用戶來說,這種效果甚至更強:他們可能更難使用錢包和密碼,但他們同樣擅長處理諸如“選擇7個不會勾結的人”之類的社交任務。如果我們可以從人類輸入中至少提取一些信息到一種機制中,而又不將這些輸入變成攻擊和利用的載體,那么我們應該弄清楚如何做到。
社交恢復是非常強大的:要盜取一個有7個守護人的錢包,這需要7個守護人中的4個,以某種方式相互發現,并同意竊取錢包中的資金,而不讓他們中的任何一個向失主告密:這當然要比攻擊一個純粹由一個人保護的錢包要困難得多。
社交恢復如何防止盜竊?
上面說明的社會恢復涉及您丟掉錢包的風險。但是仍然存在簽名密鑰被盜的風險:有人侵入您的計算機,在您已經登錄并潛入您的頭上時在您身后偷偷摸摸,甚至只是使用一些用戶界面故障來欺騙您進行簽名您不打算簽署的交易。
我們可以通過添加保管庫來擴展社會恢復能力以處理此類問題。每個社會恢復錢包都可以附帶一個自動生成的保管庫。只需將資產發送到保管庫的地址即可將其移至保管庫,但只能將其移出保管庫,但要延遲1周。在該延遲期間,簽名密鑰(或擴展為監護人)可以取消交易。如果需要,還可以對庫進行編程,以便可以立即進行一些有限的財務操作(例如,白名單令牌之間的Uniswap交易)。
目前市場上有哪些社交恢復錢包?
當前,已實現社會恢復的兩個主要錢包是Argent錢包和Loopring錢包:
Argent錢包第一個、突破魔幻手機哦也是目前最流行的“智能合約錢包”,而社交恢復是其主要賣點之一,該錢包包括一個可以添加和刪除守護人的界面,為了防止被盜,錢包有一個每日限額:達到該金額的交易是即時的,而超過該金額的交易,需要守護人批準才能最終取款。
Loopring錢包是由Loopring協議(這是一個用于支付和去中心化交易的ZK rollup協議)的開發者構建的。Loopring錢包也有一個社交恢復功能,其工作原理與Argent非常相似。在這兩種情況下,錢包公司都免費提供了一名守護人,這依賴于手機發送的確認碼來驗證你的身份。對于其他守護人,你可以添加同一錢包的其他用戶,或通過提供其以太坊地址添加任何以太坊用戶。
這兩個錢包的用戶體驗都出奇地流暢。但它們存在著兩個主要挑戰:
首先,兩個錢包的平穩性都依賴于錢包商運行的“中繼器”(relayer),它將簽名消息作為交易重新發布。
其次,費用是很高的。
幸運的是,這兩個問題都是可以克服的。
遷移到二層(rollups)網絡可以解決剩余的問題
如上所述,存在兩個主要挑戰:
(i)依賴中繼器來解決交易;
(ii)高交易費。
在以太坊應用中,第一個挑戰是對中繼器的依賴,這是一個日益普遍的問題。出現此問題是因為以太坊中有兩種類型的帳戶:由單個私鑰控制的外部擁有帳戶(EOA)和合同。在以太坊中,有一個規則,即每筆交易都必須從EOA開始。最初的意圖是EOA代表“用戶”,合同代表“應用程序”,并且僅當用戶與應用程序對話時,該應用程序才能運行。如果我們想要具有更復雜政策(如多重簽名和社會恢復)的錢包,則需要使用合同來代表用戶。但這帶來了一個挑戰:如果您的資金處于合同中,則您需要擁有其他一些具有ETH的帳戶,才能開始每筆交易,并且它還需要大量的ETH,以防萬一交易費用變得很高。
Argent和Loopring通過親自運行“ relayer”來解決此問題。中繼器偵聽用戶提交的脫鏈數字簽名的“消息”,并將這些消息包裝在事務中,然后發布到鏈中。但是從長遠來看,這是一個糟糕的解決方案。它增加了集中化的額外點。如果中繼器關閉并且用戶確實需要發送交易,則他們始終可以從自己的EOA發送,但是仍然需要在集中化和不便之間引入新的權衡。人們在不集中的情況下努力解決這個問題并獲得便利。主要的兩類圍繞建立通用的分散式中繼網絡或修改以太坊協議本身以允許交易從合同開始。但是,這些解決方案都不能解決交易費用,實際上,由于智能合約本來就更復雜,它們使問題變得更糟。
幸運的是,我們可以通過尋求第三種解決方案同時解決這兩個問題:將生態系統移至第二層協議,例如樂觀rollups和ZK rollups。可以使用內置的帳戶抽象來設計樂觀和ZK rollups,從而避免了對中繼器的任何需求。現有的錢包開發人員已經在研究rollups,但是最終要整體遷移到rollups是整個生態系統的挑戰。
生態系統范圍內的大規模遷移到rollups是一個很好的機會,它可以扭轉以太坊生態系統的早期錯誤,并為多重簽名和智能合約錢包在幫助確保用戶資金方面發揮更加重要的作用。但這需要更廣泛的認識,即錢包的安全性是一個挑戰,而且我們在嘗試應對和挑戰方面還沒有做得足夠。多重簽名和社會復蘇不一定是故事的結局。可能會有更好的設計。但是,簡單地進行改革,即遷移到rollups并確保提供一流的智能合約錢包是實現這一目標的重要一步。
本文部分內容編譯自vitalik.ca
Tags:以太坊區塊鏈BTC加密貨幣以太坊幣價格今日行情價格紅色是漲嗎區塊鏈存證多少錢BTC公益是什么平臺全球十大加密貨幣
如果要給2020年的加密貨幣領域選幾個關鍵詞,那么“DeFi”、“流動性挖礦”定會入選。盡管在這之前,DeFi中諸如去中心化交易所、穩定幣、抵押借貸等領域的生態已經比較完善,得益于流動性挖礦,2.
1900/1/1 0:00:00牛市可以很長,但市場最瘋狂的階段往往是相對短暫且難以持續。大家好,我是佩佩,對比特幣來說,之前我們提到一點,近一年有70%的流通是沒有移動過的,市面上的籌碼比我們想象中的要少得多,再加上這一年灰.
1900/1/1 0:00:00DeFi 保險協議需要對鏈內外風險標的、組織形式、精算和保險定損方法進行更多探索。與其他 DeFi 功能模塊相比,DeFi 保險受到的關注較少,除了 Nexus Mutual 和 Cover 等.
1900/1/1 0:00:00中國已全面進入建設數字經濟的新時代,數字身份認證與管理及用戶隱私保護已成為數字經濟發展不可回避的核心問題之一.
1900/1/1 0:00:00比特幣和黃金之間的比較與比特幣本身一樣成為了主流熱衷的話題。然而,盡管這兩種資產目前有所脫鉤,但兩者中感興趣和活躍的投資者群體幾乎相同,并且存在重疊.
1900/1/1 0:00:00加密市場全面升溫,在以太坊價格持續攀升的同時,隨之而來的是以太坊的網絡效用幾乎觸及天花板。最新的Gas利用率數據顯示,優化網絡費用結構已經迫在眉睫,一起探討下當前的行業解決方案.
1900/1/1 0:00:00