近兩年來��,隨著越來越多的資產流入區(qū)塊鏈行業(yè)��,全球對于區(qū)塊鏈生態(tài)安全的關注度越來越高���,然而由于生態(tài)的去中心化���、匿名性和金融屬性等因素����,導致行業(yè)一旦發(fā)生安全問題,后果往往比傳統(tǒng)互聯(lián)網更加嚴重����。在區(qū)塊鏈技術安全范疇中,既有“傳統(tǒng)”互聯(lián)網世界中存在的漏洞,也包含區(qū)塊鏈獨有的風險點�����,這都使得生態(tài)參與者們更加頭疼����。
同時,雖然有著越來越多的人參與到區(qū)塊鏈的行業(yè)之中�����,然而由于很多人之前并沒有接觸過區(qū)塊鏈���,也沒有相關的安全知識�����,安全意識薄弱��,這就很容易讓攻擊者們有空可鉆����。面對區(qū)塊鏈的眾多安全問題�����,國民科技在平安夜到來之際,幫大家整理了一些區(qū)塊鏈安全相關資料���,幫助大家了解區(qū)塊鏈的安全攻防世界�。
錢包Wallet
錢包(Wallet)是一個管理私鑰的工具��,數(shù)字貨幣錢包形式多樣���,但它通常包含一個軟件客戶端�,允許使用者通過錢包檢查�、存儲、交易其持有的數(shù)字貨幣�。它是進入區(qū)塊鏈世界的基礎設施和重要入口。
據 SlowMist Hacked 統(tǒng)計����,僅 2018 年因“釣魚”、“第三方劫持”等原因所造成的錢包被黑損失總金額就達 69,160,985 美元�����,深究根本���,除了部分錢包本身對攻擊防御的不全面之外�����,最主要的是錢包持有者們的安全防范意識不強���。
冷錢包Cold Wallet
冷錢包(Cold Wallet)是一種脫離網絡連接的離線錢包,將數(shù)字貨幣進行離線儲存的錢包�����。使用者在一臺離線的錢包上面生成數(shù)字貨幣地址和私鑰�����,再將其保存起來����。冷錢包是在不需要任何網絡的情況下進行數(shù)字貨幣的儲存,因此黑客是很難進入錢包獲得私鑰的�����,但它也不是絕對安全的�,隨機數(shù)不安全也會導致這個冷錢包不安全�����,此外硬件損壞���、丟失也有可能造成數(shù)字貨幣的損失,因此需要做好密鑰的備份���。
熱錢包Hot Wallet
熱錢包(Hot Wallet)是一種需要網絡連接的在線錢包��,在使用上更加方便����。但由于熱錢包一般需要在線使用�����,個人的電子設備有可能因誤點釣魚網站被黑客盜取錢包文件�����、捕獲錢包密碼或是破解加密私鑰����,而部分中心化管理錢包也并非絕對安全。因此在使用中心化交易所或錢包時�����,最好在不同平臺設置不同密碼����,且開啟二次認證,以確保自己的資產安全���。
公鑰Public Key
公鑰(Public Key)是和私鑰成對出現(xiàn)的���,和私鑰一起組成一個密鑰對,保存在錢包中�����。公鑰由私鑰生成�����,但是無法通過公鑰倒推得到私鑰���。公鑰能夠通過一系列算法運算得到錢包的地址����,因此可以作為擁有這個錢包地址的憑證。
私鑰Private Key
私鑰(Private Key)是一串由隨機算法生成的數(shù)據����,它可以通過非對稱加密算法算出公鑰,公鑰可以再算出幣的地址��。私鑰是非常重要的�,作為密碼,除了地址的所有者之外���,都被隱藏�。區(qū)塊鏈資產實際在區(qū)塊鏈上���,所有者實際只擁有私鑰���,并通過私鑰對區(qū)塊鏈的資產擁有絕對控制權,因此���,區(qū)塊鏈資產安全的核心問題在于私鑰的存儲����,擁有者需做好安全保管。
和傳統(tǒng)的用戶名����、密碼形式相比����,使用公鑰和私鑰交易最大的優(yōu)點在于提高了數(shù)據傳遞的安全性和完整性,因為兩者——對應的關系��,用戶基本不用擔心數(shù)據在傳遞過程中被黑客中途截取或修改的可能性�。同時,也因為私鑰加密必須由它生成的公鑰解密��,發(fā)送者也不用擔心數(shù)據被他人偽造���。
助記詞Mnemonic
由于私鑰是一長串毫無意義的字符���,比較難以記憶,因此出現(xiàn)了助記詞(Mnemonic)����。助記詞是利用固定算法,將私鑰轉換成十多個常見的英文單詞。助記詞和私鑰是互通的���,可以相互轉換�����,它只是作為區(qū)塊鏈數(shù)字錢包私鑰的友好格式����。所以在此強調:助記詞即私鑰��!由于它的明文性����,不建議它以電子方式保存,而是抄寫在物理介質上保管好�,它和 Keystore 作為雙重備份互為補充。
Keystore
Keystore 主要在以太坊錢包 App 中比較常見(比特幣類似以太坊 Keystore 機制的是:BIP38)�,是把私鑰通過錢包密碼再加密得來的,與助記詞不同����,一般可保存為文本或 JSON 格式存儲。換句話說�����,Keystore 需要用錢包密碼解密后才等同于私鑰。
因此����,Keystore 需要配合錢包密碼來使用,才能導入錢包�。當黑客盜取 Keystore 后,在沒有密碼情況下, 有可能通過暴力破解 Keystore 密碼解開 Keystore�,所以建議使用者在設置密碼時稍微復雜些���,比如帶上特殊字符����,至少 8 位以上����,并安全存儲。
由于區(qū)塊鏈技術的加持使得區(qū)塊鏈數(shù)字錢包安全系數(shù)高于其他的數(shù)字錢包�����,其中最為關鍵的就是兩點:防盜和防丟�����。
相比于盜幣事件原因的多樣化,造成丟幣事件發(fā)生的原因主要有五個類型:沒有備份����、備份遺失、忘記密碼�、備份錯誤以及設備丟失或損壞。因此�����,我們在備份一個區(qū)塊鏈數(shù)字錢包的時候���,對私鑰���、助記詞、Keystore 一定要進行多重��、多次備份���,把丟幣的風險扼殺在搖籃之中�����。
國民科技為大家提供一份來自 imToken 總結的錢包安全“十不原則”:
不使用未備份的錢包
不使用郵件傳輸或存儲私鑰
不使用微信收藏或云備份存儲私鑰
不要截屏或拍照保存私鑰
不使用微信���、QQ 傳輸私鑰
不要將私鑰告訴身邊的人
不要將私鑰發(fā)送到群里
不使用第三方提供的未知來源錢包應用
不使用他人提供的 Apple ID
不要將私鑰導入未知的第三方網站
國民科技提醒大家
(1)任何主動加你告訴你利潤非常高的項目讓你進行投資���,請謹慎理性對待。
(2)任何數(shù)字錢包內數(shù)字貨幣轉賬����,到賬的 Token 可能存在是相同的名稱但并非真實的數(shù)字資產。
(3)假 BTC���、ETH、EOS ����、OKB、HT�、BNB Token 詐騙案例均出現(xiàn)過,請?zhí)岣咦约簩?shù)字錢包的使用知識����,如果實在是無法確認真假可以將數(shù)字錢包內的資產充值到交易所看能否充值成功,假數(shù)字資產充值到交易所不會到賬���。
(4)任何掛著交易所或者錢包 Logo 頭像的人員并不一定就是真實官方人員���,請找準官方社群聯(lián)系��。
