前段时间一篇“将私钥藏进唐诗里”的帖子在链节点论坛里引发热议,有人认为这是一种安全且有意思的玩法,也有人质疑它的安全性。
12月18日晚,我们邀请到imKey产品负责人、前慢雾安全业务负责人海贼王与主持人君瑶一起聊了聊如何守护个人数字资产的安全的问题。
在本次直播中,海贼王提出——
选择交易所存币最主要的是需要判断交易所是否有备赔付能力和赔付预案;
用户在选择保管数字资产的方式之前要清楚自己的需求是逐利还是长期投资;
交易所盗币事件日益增多,其实有的时候黑客真的只是“背锅侠”。
等等有趣且实用的观点,并现身说法,分享了自己的一次丢币经历。接下来就一起回顾下这次直播的详细内容吧。
从唐诗三百首到私钥助记词
回到文章开头提到的引发热议的帖子,将私钥藏到唐诗里本质上是脑钱包的一种规则而已,关于脑钱包的运用和安全性,海贼王表示:
脑钱包是使用自己发明的一套词语组合规则,通过既定的算法来生产钱包方式。虽然看起来这样做私钥被别人盗取的可能性不高,但其实还是存在破译的可能性;而且这样做可靠性较差,一旦遗忘将导致资产损失,所以不建议普通用户采用。
另外,海贼王还谈到了QuadrigaCX平台CEO突然逝世,而由于他是唯一掌握私钥的人,导致交易所损失了2亿加元的数字资产的事故。由此可见私钥的保管方式很重要,脑钱包这种方式的也是存在较大风险的。保护好自己的资产,与其绞尽脑汁编一段负责的规则再牢牢记在脑子里,不如在管理自己已生成好的私钥上多费点心思。关于私钥的保管,海贼王表示:
管理私钥主要是保证安全和准确,包括抄写正确的助记词和私钥并验证准确性,特别是助记词的抄写一定要细心,抄写完可以验证一下是否可以恢复——现实中真的存在一部分用户因为自己的不细心导致助记词抄写这个步骤中就存在一些失误导致最终酿成大错的情况。
毕竟我们的钱包只认私钥不认人,所以还是要向大家强调私钥至上的原则。保管好自己的私钥,做好备份,钱包安全才会得到最有力的保障。
交易所被盗已成常态?
对于很多小白或者散户来说,更习惯的方式是将数字资产直接存放在交易所里。但是近年来交易所被盗事故频发,交易所存币是否还安全呢?对此,海贼王给出以下建议:
用户如果需要把资产存放在交易所里,那么首先需要判断交易所是否有具备赔付能力和赔付预案,如果交易所实力雄厚赔得起,那么丢币的风险也由交易所承担,这时对于用户来说就是安全的。当然,如果有大量数字资产,建议不要把鸡蛋都放在一个篮子里。目前市面上确实有不少交易所被盗和倒闭跑路的新闻,私钥不掌握在自己手里就一定存在风险。
具备赔付能力和赔付预案的交易所确实可以提供给用户更多的安全性,但是面对频繁的交易所被盗事件,更多时候用户还是会“谈交易所色变”,关于被盗,海贼王表示:
首先这是和行业发展相关的,早年间交易所数量不多,而在近两年交易所数量明显增长,有些新出的小的交易所缺乏经验,可能直接买了台服务器就上线,接着上线就是被黑,然后就是跑路。这也是我们看到的交易所被盗的数量激增的一部分原因。
另外,有时候我们也会根据官方声明中给出的路径和黑客入侵手法去分析,有些公布出来的被黑的背后其实是解释不通的,现实中确实存在一部分是交易所本身高层蛋糕分配的利益问题没有解决好,最终让黑客来当一个挡箭牌、背锅侠。这样的事件也是存在的,但事情的真相只有攻击者和受害者才知道,外面的人很难准确判断是不是真的被黑客攻击了,还好区块链的特性是你做了什么链上都可以查到,也为一些技术人员分析事情经过提供了部分线索。
交易所被盗频发一方面是行业发展从不专业不成熟到走向专业和成熟的过程,一方面也是提醒我们牢记资产安全的警钟。保持理性和警惕,不把鸡蛋放在同一个篮子里,交易所也可以是安全的。
拿什么保护你,我的数字资产!
面对纷繁复杂的市场,存放资产的方式也是五花八门,除了上文提到的脑钱包和交易所,用户究竟可以将自己的资产存放在哪?海贼王给出了以下解答:
目前市场上的钱包面对的一个跷跷板难题就是易用和安全,但是毫无疑问安全仍然是第一性的,用户在选择资产存储方式的时候,也是推荐宁可选择复杂一些成本高一些但是安全性强一点的方法。结合自己的需求,是要短期逐利,还是长期投资?需求弄清楚,再做相应决定。逐利的用户可能更多地选择大型交易所或者合规交易所,对于长期投资的用户来说,硬件钱包就会是更好选择。
说到硬件钱包,就不得不提它和软件钱包的区别,前者断网保存私钥,后者需要联网。那么软件钱包就一定不安全,硬件钱包就一定安全吗?海贼王表示:
两者最主要的区别在于私钥和助记词的存储位置,软件钱包会存在你手机的存储空间里,手机里会有一个安全机制就是我们说的沙箱,在沙箱内的数据别的应用程序是不能偷走的。但是有一些开发可能没有注意这个细节,将敏感数据存在了不安全的区域,这时用其他的App或者越狱、ROOT过的手机,黑客可以通过这种形式给你的手机装上一个恶意App?,通过这样的方式就可以盗走你的私钥或者其他敏感数据,这也是软件钱包存在风险较大的地方,一旦手机被黑客攻击那么被盗走数字资产的风险就非常高。硬件钱包则没有这样的风险,因为数据加密存储在硬件钱包的高级别安全芯片内并无法通过App交互方式获取,助记词也只会在用户创建钱包的时候仅出现一次,用户只要备份好助记词即使硬件钱包丢失也不会导致资产损失。
当然硬件钱包的安全性能包括很多方面,海贼王给我们举了一个例子,他曾测试过的一款钱包因为硬件钱包厂商没有采用业界标准助记词存储方案使用了一个非主流的助记词存储方案导致损失了0.1枚BTC。聊到这段经历,海贼王表示虽说产品本身设计有不合理的地方,但也是因为自己的粗心导致了最终的丢币。也由此再次提醒大家,资产保管方案有很多,但是仍然牢记安全谨慎第一条!
综上可见,好玩有趣的脑钱包仍然存在较大风险、广受诟病的交易所存币并非一无是处,市场上流行的软件钱包、硬件钱包也都不能保证资产百分百的安全。对于用户来说,最主要的是提高安全意识,针对不同需求,理性谨慎地挑选好平台或者钱包,遵守不要把鸡蛋都放在一个篮子里的原则,就可以最高程度地保护自己的数字资产安全。
以上是由链节点整理的直播精彩内容,更多内容欢迎观看文章上方的视频回放。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。