以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ELS:數據泄漏 硬件冷錢與軟件冷錢包誰更安全

Author:

Time:1900/1/1 0:00:00

這兩天硬件冷錢包廠商 Ledger 的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據,我的名字和信息也赫然在列!很顯然,數據泄漏對用戶造成了利益侵害,然而我覺得更加值得探討是硬件錢包方向的問題。

之前,我也使用 Ledger。后來,因為看到硬件冷錢包的種種缺點,以及軟件冷錢包的興起,才毅然決定做 Ownbit 軟件冷錢包。

軟件冷錢包

不同于硬件冷錢包,軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機,其中一部永久離線,作為冷錢包存儲私鑰(助記詞)。另一部聯網,作為觀察錢包使用。

軟件冷錢包和硬件冷錢包實現同樣的功能,安全級別類似。但是它們有一些顯著的區別:

澳大利亞電信公司Optus發生用戶數據泄露事件,攻擊者索要100萬美元門羅幣:9月26日消息,澳大利亞第二大電信公司Optus近日發生大規模用戶數據泄露事件。其中一位攻擊者聲稱擁有相關信息,包括1120萬Optus客戶的用戶姓名、出生日期、電話號碼、電子郵件地址、家庭住址以及護照和駕照號碼在內的詳細信息,還公布兩個包含100條客戶信息的樣本,并索要100萬美元的門羅幣。(The Guardian)[2022/9/26 7:21:24]

軟件冷錢包可以使用閑置手機,沒有額外的硬件;

硬件冷錢包通過數據線或藍牙傳輸數據,而軟件冷錢包通過掃描二維碼;

可信任的助記詞

軟件冷錢包可以實現更徹底的去信任(即不需要信任軟件開發者),用戶可以自行證明其錢包的絕對安全性。

Celsius受到Customer.io數據泄露事件的影響:金色財經報道,據該公司稱,Celsius一家供應商的一名員工將一份客戶電子郵件列表泄露給了“第三方不良行為者”。這家加密貨幣貸方周四在一封電子郵件中表示,它受到了同樣影響 OpenSea的 Customer.io 數據泄露事件的打擊。?該公司表示,盡管Celsius不認為其客戶面臨“任何高風險”,但它確實將數據泄露視為“嚴重違反供應商-客戶關系”,并已聯系有關當局。根據該公司的更新,其他五名 Customer.io 客戶在 OpenSea 之外受到影響。

Celsius電子郵件稱,Customer.io最初在 6 月 30 日表示Celsius 數據沒有受到影響。然而,7月8日,該公司警告說,Celsius 客戶電子郵件列表實際上已被泄露,盡管Celsius 在發現事件后立即刪除了 Customer.io 持有的所有數據。[2022/7/29 2:45:16]

在資產安全中,首當其沖的是助記詞的安全。而在助記詞的安全中,首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商(或者有bug)的硬件錢包,您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的,是預先生成的,或者是假隨機的。

MAGACOIN加密貨幣發布因網站數據泄露而受損:上周由唐納德特朗普的支持者開發的加密貨幣的推出因網站數據泄露而受損。據《衛報》報道,包括IP地址、電子郵件地址和密碼在內的用戶信息是通過項目網站上糟糕的安全配置訪問的。一位不愿透露姓名且自稱的黑客行動主義者告訴《衛報》,已有1,000多人注冊,其中包括共和黨人物和保守的媒體人士,大多數持幣者擁有大約100個MAGACOIN。據報道,該項目的創建者、二手車銷售員MarcZelinka和目前正在運營該項目的親特朗普顧問ReillyO'Neal持有200萬個MAGACOIN。(cointelegraph)[2021/7/23 1:11:08]

硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任,而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。

聲音 | 趙長鵬回應:不要陷入KYC數據泄漏的恐懼中,我們正在調查中:趙長鵬剛才在推特上回應表示:不要陷入KYC數據泄漏的恐懼中,我們正在調查中,將會及時更新狀況。[2019/8/7]

在使用軟件冷錢包時,你可選擇信任軟件,讓其幫助您生成助記詞。也可以選擇不信任軟件,自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線,不存在向互聯網傳輸數據的可能(唯一的交互是通過二維碼掃描和觀察錢包之間進行明文傳輸,可審查),所以助記詞的安全性得到了絕對的保障。

因此,軟件冷錢包的助記詞的安全性高于硬件冷錢包。

藍牙 vs 二維碼傳輸

硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言,硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。

藍牙傳輸方案的優點是:數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限,對于有較大數據傳輸的場景,該缺點顯得尤為突出。例如:較大的比特幣交易(UTXO數量龐大)。

藍牙傳輸方案的缺點是:安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug,在特定場景下,可能存在安全隱患。另一點是,藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內(10米內),通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里,是完全不存在的。

藍牙傳輸的另一個弱點是:可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容,以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任,即用戶可以在數據傳輸層面確保其私鑰(助記詞)不受泄漏,而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。

經濟性和靈活性

軟件冷錢包可以使用閑置的手機作為冷錢包存儲,而無需購買額外的硬件。因此更加經濟。

更重要的是,軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能,例如:多簽冷錢包。

軟件冷錢包的靈活性,也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞,需要購買(同一廠商)的硬件,進行硬件恢復。而使用軟件冷錢包,則沒有這樣的顧慮。

封閉和開放

軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式,可以在更廣泛的范圍內定義標準,實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。

兩種方案的錢包生態

目前市場上,雖然主要的冷錢包產品依然是以硬件冷錢包為主,但是它們正在受到軟件冷錢包的沖擊。

硬件冷錢包:

Ledger 是最知名的硬件冷錢包方案提供商;

Trezor 是另一個知名的硬件冷錢包提供商;

軟件冷錢包:

Ownbit 是最早實現軟件冷錢包方案的錢包,也是支持冷錢包幣種最多的錢包之一;

Parity Signer 是 Parity 出品的以太坊軟件冷錢包;

未來

事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。

就像大部分人不需要額外的硬件來進行閱讀(電子書),因為手機本身也可以進行閱讀。用更加常見的設備(手機)來替代專業的硬件是必然的趨勢!因為它們在功能上類似,甚至更加優秀!

原標題:硬件冷錢包向左,軟件冷錢包向右

Tags:ELSSIUCELCelsiuscelsius幣最新SIU2022cel幣為什么被下架celsius幣官網

比特幣最新價格
EFI:火幣觀察:PWG發布聲明 監管明確將使穩定幣更穩定

據Cointelegraph 12月24日消息,美國總統金融市場工作組(PWG)發布了一份關于穩定幣的新聲明,詳細介紹了其如何看待使用穩定幣進行零售支付,包括對“多幣種穩定幣”進行限制的可能性.

1900/1/1 0:00:00
數字人:晚間必讀5篇 | 如何讓代幣不被認定為證券?

1.加密項目團隊必讀:如何讓代幣不被認定為證券?究竟有沒有一種解決辦法來使創始團隊傳達給用戶的是控制權/所有權,而不是證券呢?其實.

1900/1/1 0:00:00
BTC:蘋果聯合創始人Wozniak攜WOZX進軍區塊鏈 首發上線霍比特HBTC

自工業革命以來,人類不斷向自然界排放大量二氧化碳等溫室氣體,超出了地球承載與調節能力,導致海洋——陸地——大氣碳循環失衡,溫室氣體濃度和地球溫度“雙升”.

1900/1/1 0:00:00
區塊鏈:數字人民幣蘇州試點答卷:“綜合科技服務商”價值初顯現

這個雙十二,數字人民幣再次走進公眾視野,金融與科技又一次碰撞出不一樣的火花。繼10月深圳羅湖數字人民幣試點之后,蘇州成為了又一個派發數字人民幣紅包的地區.

1900/1/1 0:00:00
比特幣:谷燕西:比特幣可以像宗教一樣持久

2020年12月31日,比特幣已經達到了歷史新高,超過29,000美元一枚。它現在越來越被認為是一個新的資產類型。有研究機構把比特幣同其它的資產類型和金融產品相比較.

1900/1/1 0:00:00
ETF:金色圖覽 | 2020年 你是(踏空/吹風/抄底/耕地/凡爾賽)人?

作為7×24小時的區塊鏈人,你覺得2020年自己是(踏空/吹風/抄底/耕地/凡爾賽)人?金色財經挖礦數據播報:ETH今日全網算力下跌1.2%:金色財經報道.

1900/1/1 0:00:00
ads