BlockBeats 注:11 月 12 日,FTX 在其 Telegram 社群称其钱包异动,后称遭遇黑客攻击,FTX 资产被窃取引发加密社区对资产安全的担忧。用户需要重新思考如何以更安全的方式管理他们的资产,如何以更安全的方式使用加密钱包。为此,BlockBeats 对 GoPlus Security 联合创始人 @BenWAGMI 在推特上关于 web3 钱包的科普进行整理,内容如下:
自 FTX 暴雷以来,各大交易平台储备金有问题的消息疯传,提币潮愈演愈烈,后续又几家小交易所倒下,这应该是加密圈有史以来最大提币运动。我在 BitMEX 中的资金从未提出过(我心中最安全的交易平台),最近也提冷钱包了。这种核冬天只能窝在地下室,不想沾染任何风险。
很多加密圈新手是没怎么用过钱包的,也不太清楚钱包的工作原理。本贴就如何用钱包安全地存储资产从使用和原理进行详细地说明。你只要读完这个帖子,严格地落实安全方法,你的资产就处于比较高的安全状态。
Gcat-NFT、NIFTSY、Cryptool等项目获得Swarm协会第四轮资助:10月1日消息,Swarm 协会公布了第四轮资助名单。其中包括了助力中国Swarm生态发展的Greater China Swarm Community/Association、NFT 策略卡牌游戏Gcat-NFT、去中心地图alileo Retreat in Bali、跨链协议NIFTSY、购物门户网站Cryptool、基于Swarm应用层解决方案DataSpark、在线学习平台Iqracrypto。[2021/10/1 17:20:02]
钥密码学是 crypto 的基石。公钥和私钥的本质就是一对自然数。私钥是你随机秘密地生成的,不会展示给任何人。公钥是根据一定的密码学算法计算出来的,可以展示展示给他人,根据公钥无法逆向推导出私钥。在加密货币中把公钥再进行一定的运算,变为转账用的地址。
公钥私钥具体是如何保障加密货币运行的呢?依靠的是电子签名。有一条消息(如我要转账给某人 1000 个币),这条消息经过你的私钥签名后会得到一个签名,广播到区块链上,别人可以通过你的公钥验证这个消息确实是通过你的私钥签名的,那就是你发布的。因此谁掌握了私钥谁就掌握了钱包。
CryptoPunks NFT将在美国迈阿密的广告牌展出:从下周开始,NFT收藏品项目CryptoPunks将在为期一个月的展览中在美国迈阿密的广告牌上展出。CryptoPunks与非营利组织SaveArtSpace合作,将展出96个基于以太坊的数字角色。(Decrypt)[2021/4/6 19:48:37]
由于私钥就是一长串非常长的数字,对于人类来说基本不具备可读性和可记性,比特币社区提出了几个 BIP 提议,用一组人类可读的单词代替私钥。本质上这些单词最后还是转化成了自然数私钥,只是对人类肉眼看起来比较友好。助记词还有更多功能,这里先按下不表。
该如何存储?显然区块链存储资产的最核心是如何保管私钥或助记词。私钥丢了你的资产也就没了。但这个往往也是小白用户犯致命错误的重灾区,因为这个过程是反人性的。但你不可能既要安全,又要自由,又想不付出代价。合格地保管私钥才是对自己的资产负责的第一步。
首先要知道的第一点是,你的币并不是在你的钱包软件/App 这个壳子中,而是在你用的区块链网络中,私钥对应的地址之下。你的钱是在区块链上的,你完全可以在另一个设备、另一个钱包软件中导入私钥,使用同一个账户。
动态 | Skew和CryptoGarage成功测试在比特币区块链上结算标准普尔500衍生品:初创公司Skew 和CryptoGarage宣布,已在9月6日至9月20日期间的交易中成功测试了通过比特币区块链结算标准普尔500指数衍生品。这两家初创公司认为,区块链为更快、更安全的结算提供了答案,否则这将是一个由中间商运营的昂贵过程。据悉,双方签订了一份衍生品价差合约,然后在合约到期时使用ICE数据服务中的oracle数据进行结算。(bitcoinist)[2019/10/11]
然后区别两个概念:冷/热钱包。私钥从生成后从来不联网的,就是冷钱包。因为签名就是个数学运算,待签名的消息完全可以通过非网络的方式(如二维码、蓝牙)传递给冷钱包,签名后再传回来再发布到网上。另一种是热钱包,比如手机 App 钱包,MetaMask 等,私钥在生成后就处于一台联网设备中。
我们看看这两种钱包使用的时候会有哪些问题。
钱包生成后没有备份很多新手用户生成完了钱包直接就不管了,没有备份。一旦你的手机/电脑出现问题、丢失,这个钱是完全找不回来了,和交易平台可完全不一样。所以一定要备份私钥或助记词。现在大部分钱包应该都默认给你提供助记词,很多也提供私钥,但没什么必要,备份助记词即可(好读好写好记)。
动态 | Reddit用户:Cryptopia网站关闭了大约8个小时:据ambcrypto消息,Reddit用户Fallenkeith2018爆料,Cryptopia网站关闭了大约8个小时,Cryptopia官方说法为平台维护。[2019/5/14]
安全地备份助记词最安全的保存方法,是保存在不联网且不易丢失和损坏的介质上,比如——抄在纸上,或找一台不用的、以后永不联网手机的手机拍个照等。方式是五花八门的,甚至有专用的抗腐蚀、火烧、水淹的铁板。我自己用的是 BitpieWallet 的 Frozen Armour 来保存助记词。脑子里也备份了一份。
不论什么选择,只需要记住核心:不易丢失、不易损坏、别人无法接触到或接触到了无法使用具体哪种方式对你最安全,取决于你的环境和你的资产量级。你需要根据你的实际情况去评估各种方式的优劣,底该用什么方式。不要照抄别人,别人用纸你就用纸(老鼠啃了?),别人用铁板你就用铁板(家里进贼?)。
动态 | 耐克或将推出一款名为CRYPTOKICKS的加密货币:4月28日,全球商标律师事务所Gerben Law Firm创始人Josh Gerben发推称,“体育服装品牌巨头耐克已提交注册商标“ Cryptokicks ” 的申请书,根据文件透露的内容推测,耐克还打算推出一个名为CRYPTOKICKS的加密货币。”随后OK首席运营官Andy Cheung转发推文表示,”我很欣赏耐克总是能跟上正确的潮流,时尚和技术。“[2019/4/28]
这种思想懒惰也会带来风险。比如有人会选择强加密后分片放在云盘上,这个看起来触网了,但实际也比很多人用纸的安全,毕竟有些人纸最后都不知道去哪了。在别人提供的既有方案中,你觉得哪种最好就用哪种。如果你暂时不知道怎么评估,那就写纸上放铁盒里把,要记住这是一个你永远需要动态思考的问题。
很多朋友在体验不同的热钱包时喜欢复制粘贴导来导去,但剪切板本身是一个非常严重的泄露私钥和助记词的途径,这基本是一种作死行为。这也是为什么我坚决反对钱包提供私钥(私钥不像助记词可以抄写,用户基本只能复制)。
对于使用桌面端插件钱包的用户,可以再安装一些安全插件进一步提升交易的安全性(目前在移动端由于技术架构限制,不太好实现这种功能,只能由钱包自身提供)。
备份助记词。你得考虑如果你冷钱包坏了怎么办。不论冷热都得备份。一是小心供应链攻击:从官网提供的下单链接购买。不要直接淘宝京东搜索,你不知道你买来的钱包是不是真货,是不是别人刷了有问题的固件进去。买回来最好也刷一下官网的最新固件。
另一种供应链攻击是厂商生产时一些关键硬件被挂马(比如管理随机数发生器的芯片),但这种攻击作为用户没有能力甄别,只能提醒一句没有绝对的安全。
屏幕很重要:没有屏幕的冷钱包不要买。冷钱包最终签名应以钱包硬件屏幕上的信息为准,因为联网终端的显示有可能遭到篡改。
对于像以太坊这种有智能合约的链,很多签名不是简单转账。冷钱包的 App 终端(乃至钱包硬件屏幕)对交易信息的人类可读解析非常重要。否则做什么都成了盲签,硬着头皮签很吓人。
检查固件:更新升级的时候,核对固件文件的哈希。
设置较强的密码:有些冷钱包每次交易都需要密码,有些是按 session 来,有人觉得密码长了输入起来很麻烦搞个什么 123abc,但你需要考虑如果丢了别人两下给你按出来怎么办。如果你真的非常懒又高频交易还需要冷钱包,建议用有生物识别的产品。
暗钱包功能:有些冷钱包具有暗钱包功能,表面一个钱包,背地里输入一组特殊口令后还能进入一个新的钱包。甚至口令不同会进入不同的钱包,也即不存在输错口令这个概念因为任何口令都正确,只是除了你设置的那个外其余的钱包是空的,别人很难蒙出来。这种适合狡兔三窟的朋友,可以进一步提升安全性。
这种听起来好像很酷,你是不需要记录助记词了,对新手也比较友好,也非常符合区块链 mass adoption 的 keyless 的远景。但实际新的问题也接踵而至:托管服务商跑路了怎么办?你的守护人合伙把你坑了怎么办?
想体验这种钱包可以尝试一下,但和上面的冷热钱包一样,一定要清楚背后的原理和各种 tradeoff,才能放心使用,否则就是往坑里跳。现阶段我一般不会推荐新手直接使用这种钱包,我认为还不成熟,但我认为日后可能会成为第一选择。
好了先写这么多吧,这些钱包资产存储的基础知识已经足够武装一个新手用户了。但其实还有很多问题和细节限于篇幅没法展开了。我相信大家看下来的第一感受是:『区块链太可怕了,我不想用了』。
区块律动BlockBeats
媒体专栏
阅读更多
老雅痞
TalentDAO
元宇宙之心
Bress
金色早8点
Odaily星球日报
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。