定义加密数字钱包安全性的“三有一无”要素

近年来区块链技术的迅速发展,使得加密资产逐渐走入大众的视线。目前2000多亿美元的加密资产市值,超过2000种的加密资产,侧面反映着全球加密资产规模正在高速增长。

英国一名早期挖矿者“丢失”7500枚比特币,如今高达3亿多人民币。

2009年英国威尔士一名32岁的IT工作者詹姆士•豪威尔斯参与电脑挖比币。2013年无意间扔掉了硬盘,其宣称意外丢失的硬盘中存储着7500枚比特币私钥,当前市值高达3亿多人民币,至今尚未寻回。基于早期加密资产没有适合的存储方式,导致储存在硬盘的私钥也存在丢失的风险。

加密资产存储成为加密资产投资者不可忽视的需求。

2018年9月份,人民网转载一篇《加密资产交易平台再现被盗,安全问题成隐患》文章。近年来,已经发生了众多的盗币事件,主要集中在加密资产管理平台被攻击、智能合约漏洞、个人密钥丢失或窃取等方面。如今个人密钥如何保存成为加密资产投资者不可忽视的问题。如果准备长期投资加密资产,建议投资者将所持币种存在软件钱包中,金额较大的,则要准备硬件钱包,即冷钱包,以防止交易平台被盗窃而带来损失。

加密资产的快速发展激发了对加密资产的安全存储需求,加密钱包也应运而生。为了方便用户记录地址和私钥,官方会同时发布全节点钱包;同时有些第三方公司为了进一步提高用户体验,相继开发了加密钱包软件,它们并不同步所有的区块数据,因此称其为轻钱包。这两种数字钱包都属于热钱包。

冷钱包也称为硬件钱包,由于私钥不接触网络,相对安全性较高。不过由于业务场景的快速迭代以及推广需求,无论热钱包还是冷钱包都会有一些安全隐患会被忽视。

二、软件钱包的主要风险

软件钱包可理解为下载的钱包APP,并可直接用于转账加密资产的软件。一个加密钱包软件的使用,包含了以下三点安全要素。

1. 网络安全

从软件启动到进行交易的一套完整的过程,其中涉及业务的过程中需要连接网络,安全数据等都存在一定的风险。

2. 软件功能的核心数据安全

传统软件的功能如核心代码未加密,软件自身无校验,中间人数据劫持等。

3. 业务场景安全

针对钱包软件的独有业务场景,如助记词的不安全保存,交易密码设置弱口令,货币价格走势数据被替换等也将会给用户在使用钱包的安全上造成很大的危害。

定义加密钱包安全性的“三有一无”要素

数据来源:360安全

由于软件钱包自身安全性能的不完善,以及频频出现黑客攻击事件。硬件钱包逐步成为了很多加密资产投资者青睐的资产保存产品。

三、硬件钱包的安全性要素

硬件钱包是一种实体设备,私钥储存在设备内的受保护区域中。到目前为止硬件钱包还没有发生过重大钱包漏洞或者大规模资产丢失事件。相对而言,硬件钱包安全系数比软件钱包要高。对此,密深科技首席科学家郭伟基认为,一款真正意义上安全的钱包主要包涵了三方面的安全性要素:网络隔离,系统完整性保护,钱包种子保密。

1.网络隔离

即是给私钥创建了一个隔离环境。现有的手机和电脑与外界通过网络连接,私钥很容易遭到黑客从网络发动的远程攻击,这时候就需要硬件钱包专门保管私钥或者钱包种子。

2.系统完整性保护

指的是硬件钱包系统能够保护自身关键部件不受非法篡改。任何系统都存在被攻击的可能性,在攻击发生的时候,具备系统完整性保护能力的硬件钱包能够发现攻击并作出相应的安全响应。

目前针对系统完整性保护缺失的攻击主要有供应链攻击和邪恶女佣攻击。所谓供应链攻击,指的是硬件钱包在生产或者运输过程中被他人修改过,植入恶意软件或者篡改系统逻辑。举个例子,如果一款基于安卓系统的钱包使用了安卓提供的随机数产生器,而该随机数产生器被更换为黑客可以预测的伪随机数产生器,那么该钱包产生的全部种子、私钥都是黑客可以预测的。而黑客要完成收割,甚至都不需要受害人的钱包联网。如果缺乏系统完整性保护,不能发现此类攻击,用户的资金就有被完全收割的风险。

邪恶女佣攻击,英文叫做Evil Maid Attack,主要指的是钱包设备可能短暂被他人控制。如果设备缺乏系统完整性保护,那么这段时间就有可能被利用来植入恶意软件,例如底层逻辑被替换掉,实际转账地址变为黑客指定的地址,或者在收到某些指令后显示钱包种子的助记词,等等。

3.钱包种子保密

本文经CRJWZ.Com自动排版过滤系统处理!


免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考;文章版权归原作者所有!本站作为信息内容发布平台,页面展示内容的目的在于传播更多信息;本站不提供金融投资服务,阁下应知本站所提供的内容不能做为操作依据。投资者应谨防ICO、变相ICO!市场有风险,投资需谨慎!如本文内容影响到您的合法权益(含文章中内容、图片等),请及时联系本站,我们会及时删除处理。


为您推荐