定義加密錢包安全性的“三有一無”要素
區塊鏈
11天前
1292

近年來區塊鏈科技的迅速發展,使得加密資產逐漸走入福斯的視線。現時2000多億美元的加密資產市值,超過2000種的加密資產,側面反映著全球加密資產規模正在高速增長。

英國一名早期挖礦者“遺失”7500枚比特幣,如今高達3億多人民幣。

2009年英國威爾士一名32歲的IT工作者詹姆士•豪威爾斯參與電腦挖比幣。2013年無意間扔掉了硬碟,其宣稱意外遺失的硬碟中存儲著7500枚比特幣私密金鑰,當前市值高達3億多人民幣,至今尚未尋回。基於早期加密資產沒有適合的存儲管道,導致儲存在硬碟的私密金鑰也存在遺失的風險。

加密資產存儲成為加密資產投資者不可忽視的需求。

2018年9月份,人民網轉載一篇《加密資產交易平臺再現被盜,安全問題成隱患》文章。近年來,已經發生了眾多的盜幣事件,主要集中在加密資產管理平臺被攻擊、智慧合約漏洞、個人金鑰遺失或竊取等方面。如今個人金鑰如何保存成為加密資產投資者不可忽視的問題。如果準備長期投資加密資產,建議投資者將所持幣種存在軟件錢包中,金額較大的,則要準備硬體錢包,即冷錢包,以防止交易平臺被盜竊而帶來損失。

加密資產的快速發展激發了對加密資產的安全存儲需求,加密錢包也應運而生。為了方便用戶記錄地址和私密金鑰,官方會同時發佈全節點錢包;同時有些協力廠商公司為了進一步提高用戶體驗,相繼開發了加密錢包軟件,它們並不同步所有的區塊數據,囙此稱其為輕錢包。這兩種數位錢包都屬於熱錢包。

冷錢包也稱為硬體錢包,由於私密金鑰不接觸網絡,相對安全性較高。不過由於業務場景的快速反覆運算以及推廣需求,無論熱錢包還是冷錢包都會有一些安全隱患會被忽視。

二、軟件錢包的主要風險

軟件錢包可理解為下載的錢包APP,並可直接用於轉帳加密資產的軟件。一個加密錢包軟件的使用,包含了以下三點安全要素。

1.網路安全

從軟件啟動到進行交易的一套完整的過程,其中涉及業務的過程中需要連接網絡,安全數據等都存在一定的風險。

2.軟體功能的覈心資料安全

傳統軟件的功能如覈心程式碼未加密,軟件自身無校驗,中間人數據劫持等。

3.業務場景安全

針對錢包軟件的獨有業務場景,如助記詞的不安全保存,交易密碼設定弱口令,貨幣價格走勢數據被替換等也將會給用戶在使用錢包的安全上造成很大的危害。

定義加密錢包安全性的“三有一無”要素

1541649987336139.png

由於軟件錢包自身安全性能的不完善,以及頻頻出現駭客攻擊事件。硬體錢包逐步成為了很多加密資產投資者青睞的資產保存產品。

三、硬體錢包的安全性要素

硬體錢包是一種實體設備,私密金鑰儲存在設備內的受保護區域中。到目前為止硬體錢包還沒有發生過重大錢包漏洞或者大規模資產遺失事件。相對而言,硬體錢包安全係數比軟件錢包要高。對此,密深科技首席科學家郭偉基認為,一款真正意義上安全的錢包主要包涵了三方面的安全性要素:網絡隔離,系統完整性保護,錢包種子保密。

1.網絡隔離

即是給私密金鑰創建了一個隔離環境。現有的手機和電腦與外界通過網絡連接,私密金鑰很容易遭到駭客從網絡發動的遠程攻擊,這時候就需要硬體錢包專門保管私密金鑰或者錢包種子。

2.系統完整性保護

指的是硬體錢包系統能够保護自身關鍵部件不受非法篡改。任何系統都存在被攻擊的可能性,在攻擊發生的時候,具備系統完整性保護能力的硬體錢包能够發現攻擊並作出相應的安全響應。

現時針對系統完整性保護缺失的攻擊主要有供應鏈攻擊和邪惡女傭攻擊。所謂供應鏈攻擊,指的是硬體錢包在生產或者運輸過程中被他人修改過,植入惡意軟件或者篡改系統邏輯。舉個例子,如果一款基於安卓系統的錢包使用了安卓提供的亂數產生器,而該亂數產生器被更換為駭客可以預測的偽亂數產生器,那麼該錢包產生的全部種子、私密金鑰都是駭客可以預測的。而駭客要完成收割,甚至都不需要受害人的錢包聯網。如果缺乏系統完整性保護,不能發現此類攻擊,用戶的資金就有被完全收割的風險。

邪惡女傭攻擊,英文叫做Evil Maid Attack,主要指的是錢包設備可能短暫被他人控制。如果設備缺乏系統完整性保護,那麼這段時間就有可能被利用來植入惡意軟件,例如底層邏輯被替換掉,實際轉帳地址變為駭客指定的地址,或者在收到某些指令後顯示錢包種子的助記詞,等等。


© blocktimes——專業的區塊鏈媒體平臺