摘要:钱包作为加密世界的入口,经常被盗。很多用户会购买硬件钱包,但是硬件真的安全吗? (图片来源:网络)
截至本期,加密货币总市值为19,550.44亿日元(数据来自行情软件)。虽然较之前大幅萎缩,但仍然是一个巨大的市场。如果你把资产存放在交易所,可能会有风险,但钱包却经常出现。万万没想到,那么我们如何保护我们的数字资产呢?
钱包的分类
目前,市场上使用的钱包类型可以分为软件钱包和硬件钱包(也称为冷钱包)。大多数用户认为使用硬件钱包或冷钱包自己的资产就安全,但事实并非如此。
硬件钱包安全
对于硬件钱包来说,目前市场上的:有两种类型:一种是基于芯片的硬件钱包;另一种是基于芯片的硬件钱包。另一种是基于Android系统的手机钱包。
芯片钱包:目前只有Ledger Nano S等少数硬件钱包使用安全芯片来存储私钥。其他知名芯片钱包如trezor则使用普通芯片。如果黑客对硬件钱包进行电子攻击(即SPA和DPA攻击),普通芯片钱包就无能为力了。
手机钱包:密钥库放在内存中,内存中没有安全保护。这正是黑客可以抓住的机会,因为大多数手机钱包都面临着丢失后很容易被黑客物理破解的问题。
小编认为,如果硬件钱包不慎丢失,落入黑客手中,他可以直接复制并窃取钱包中存储的数字货币。 2017年,在美国拉斯维加斯举行的世界黑客大会DEF CON 25上,国外安全团队向观众演示了如何破解比特币硬件钱包,其中包括最古老的比特币钱包Trezor。黑客一旦获得Trezor,您就可以利用该漏洞并通过移除其外壳来转移比特币。此过程最多只需要15 秒。
目前国内钱包大多基于手机平台(MTK),MTK或高通芯片在手机市场占有较高比例。在网上很容易找到破解该芯片的程序。当黑客拿到我们的高通或者MTK手机后,不需要ROOT和开机密码就可以直接破解。在测试多个MTK钱包时,我们发现通过导出钱包固件,不仅可以看到多个币种的缓存信息,还可以找到各种生成助记词的库。
安全级别分类
360集团信息安全部发布的《数字货币钱包安全白皮书》提到“某钱包APP存在加密存储漏洞,该钱包APP首次运行时默认为用户创建新钱包并存储钱包”攻击者可以通过对钱包进行逆向分析等技术手段,读取系统本地存储的钱包文件并恢复钱包的算法逻辑,从而直接恢复用户的助记词、根密钥等敏感数据。 ”。
(来源:360数字货币钱包安全白皮书)
(来源:360数字货币钱包安全白皮书)
(来源:360数字货币钱包安全白皮书)
安全人员无需root权限(安卓手机最高权限)即可通过截图、录音的方式获取助记词、交易密码等信息;利用Janus签名问题(签名漏洞允许攻击者绕过Android系统的签名机制)伪造APP;在软件中嵌入恶意代码,可以进行修改受让人地址等操作。这些都会直接威胁到用户数字货币的安全。 ”
随着钱包热潮的兴起,越来越多的钱包加入到这个市场。钱包的种类让人眼花缭乱,有咨询类、理财类、挖矿类、交易聚合类等,可以想象未来钱包会变成什么样子。个人在进入加密货币市场时有很多可能性和机会,但钱包最重要的是它总是安全、好用、方便。如果安全保障不到位,恐怕在未来的市场上,我们将不得不面对庞大的用户基数,最终会在转换的浪潮中被摧毁……
黑客如何获取你的钱包信息,新手如何保护钱包安全?
(来源:360数字货币钱包安全白皮书)
所以对于我们普通用户来说,想要保证自己的资产安全,除了选择靠谱的链上钱包之外,最重要的是要注意安全防范。经探实,其实大部分APP都有你的剪贴板。粘贴权限,意味着每次复制粘贴私钥、助记词和Keystore时,都会被这些应用记录下来。标准操作的钱包APP还好,但一旦此类APP的开发者有其他想法,你的钱包就会被破解,数字资产可能会消失。
1.保护您的钱包秘钥和助记词。不要复制和粘贴。相对而言,keystore密码破解起来相对复杂,但最好不要使用。
2. 助记词必须设置密码。目前大多数钱包在创建助记词时为了方便都会使用助记词,从而忽略密码。如果您设置了密码,其他人会获得助记词,您将无法获得密码。资产相对安全。 (助记词密码相同和不同密码打开的钱包也会不同)
3、当别人询问自己的资产问题时,请谨慎回答,不要将您的数据资产私钥、助记词等存储在微信、QQ邮箱、百度网盘等云存储中。如果这些信息存储在这里,有些人可以获得数据。如果手机、电脑设备被盗,请立即转移资产、修改密码、向交易平台举报等。也不要卖掉你的旧手机,因为为了一点钱你的个人信息甚至你的数字资产都可能落入其中。别人的手。
小编认为,空密码的账户存在很大的隐患。如果技术进步很快,技术人员只需要猛烈碰撞助记词,说不定就能碰撞出你正确的助记词,而且助记词是没有密码的。币就相当于给别人了。有些人可能会有疑问,助记词怎么可以轻易碰撞,但是你知道吗?据说,为了找到合适的灯丝,爱迪生尝试了6000多种材料,经过13个月的努力,进行了7000多次测试,才终于找到了合适的灯丝。同样的道理,如何保证三五年内不会遇到没有密码的助记词呢?
总之,在您使用任何数字货币钱包之前,一定要保证您个人隐私信息的安全,并记得分散存储您的数字资产。大多数情况下,它们是在您不知情的情况下被黑客窃取的。虽然黑客防不胜防,但只要正确操作、小心谨慎,就可以尽量避免,不要因为一时的懒惰而后悔。
(作者:NEST,内容来自链得得内容开放平台“得得好”;本文仅代表作者观点,不代表链得得官方立场)