道路千萬條,安全第一條,區塊鏈安全問題是一個老生常談的問題。數字錢包作為加密資產流轉、存儲的重要平臺,在區塊鏈時代一直扮演著非常重要的角色,投資者要如何安全使用去中心化錢包,如何有效規避去中心化錢包的各類風險,保護自身資產安全,是我們每一位數字資產持有者都需要關心的問題。
今天,我們很榮幸邀請到TokenPocket聯合創始人&CTO陳達做客世鏈直播間,世鏈集團運營負責人Richard擔任主持人,從各種區塊鏈項目方面臨的安全問題出發,全面剖析去中心化錢包安全,講解區塊鏈錢包安全知識!
以下為直播專訪實錄,世鏈財經編輯整理:
世鏈集團運營負責人Richard:去中心化錢包作為當前市場存儲數字貨幣的主力軍,您認為去中心化錢包主要安全風險有哪些?
TokenPocket聯合創始人&CTO陳總:根據我們近幾年從事錢包行業來看,可以把風險主要分為兩類,第一類就是助記詞和私鑰的保存出現問題,另一個就是合約交互出現問題。接下來,我會根據不同錢包來闡述這兩種類型的安全隱患。通常來說,我們會把去中心化錢包分為兩類,一類是冷錢包,一類是熱錢包。其中冷錢包可以分為紙錢包、助記詞板、硬件錢包,還有離線手機冷錢包,而熱錢包就是我們常用的手機錢包、電腦插件,還有一些網頁和客戶端的錢包。
從第一類的助記詞和私鑰的存儲安全來看,冷錢包其實可以解決一部分風險問題。因為冷錢包是全程不觸網的離線狀態,所以它的助記詞和私鑰安全可以得到很好的保障。而對于熱錢包來說,比如我們用手機錢包還有插件的話,由于它是聯網狀態,可能會被一些手機環境所影響。比如市面上很多手機APP都會讀取粘貼板,而電腦安裝的插件也會帶來相應影響。所以在熱錢包這塊,其實會比冷錢包的不觸網環境更多一些風險。
觀點:日本新的穩定幣框架可能會促使美國采取行動:金色財經報道,日本于2022年6月通過了穩定幣法律框架,該框架于周四生效。?法律要求穩定幣必須與日元或另一種法定貨幣掛鉤,并保證以面值贖回給持有人。它還將穩定幣的發行限制在持牌金融機構,例如注冊銀行、匯款代理人和信托公司。
加密貨幣基金ProChain Capital的聯合創始人David Tawil表示,該國通過這一舉措彌合TradFi和DeFi之間差距的步驟從長遠來看將使每個人受益。在美國,大多數存款人,無論是個人還是企業,都可以享受免費的國內轉賬服務。但是,日本的倡議是邁向國際無摩擦、免費匯款的第一步。[2023/6/4 21:15:01]
然后是第二類的合約交互風險,比如大家經常會遇到的approve問題,就是合約交互相關的風險之一。其實從本質上來講,不管是冷錢包,還是熱錢包都會面臨合約交互相關的風險,這是無法避免的,后面我也會具體講合約交互這塊兒遇到的問題。最后還有一個比較重要的地方就是錢包來源。冷錢包可能會面臨購買渠道不安全,而熱錢包可能面臨來源風險,很多人會下載到一些盜版軟件,或者是病軟件,最終導致錢包處于被盜的狀態。
世鏈集團運營負責人Richard:近年來去中心化錢包丟幣事件頻頻發生,大多數人將焦點放在去中心化錢包的安全使用上,有些粉絲非常關心冷熱錢包的問題,對此您能深入講解下熱錢包和冷錢包的區別,以及正確使用方式嗎?
TokenPocket聯合創始人&CTO陳總:其實冷錢包可以解決部分私鑰助記詞存儲的風險,TP最開始就支持了手機的冷錢包,最近也支持了硬件的冷錢包。從冷錢包的主要用途來看,一是存儲私鑰和助記詞,二是部分用戶會通過冷錢包使用一些DeFi產品,一般情況下需要搭配熱錢包或者觀察錢包。通過觀察錢包跟冷錢包之間去交互,可以通過冷錢包去簽名這筆交易,然后通過觀察錢包掃碼的方式將這筆交易提交到鏈上。
OpenGate正式開放FNS二級交易,鏈上交互量居FVM生態第二:5月11日消息,由澳大利亞Web3科技公司OpenGate開發的FNSFilecoin生態首個域名項目宣布正式開放FNS二級交易。自2023年3月14日Filecoin公鏈正式上線FVM以來,Filecoin生態中的各類應用數量呈現大幅激增的態勢。[2023/5/11 14:57:08]
那么使用冷錢包的話需要注意兩點,一是助記詞的備份。因為冷錢包也是需要備份助力詞,一般的話硬件錢包都會配一個助力詞卡片,或者買一個助力詞板,然后放在保險柜里,相對來說是一個比較安全的方式。二是配套錢包的使用,如果你使用冷錢包時想去進行一些DeFi操作,或者去簽名一些交易,需要保證配合冷錢包的熱錢包是一個正規或者官方的錢包。如果配套錢包出問題的話,也是會帶來風險。
最后考慮到冷錢包是完全離線的狀態,可能沒辦法完全解析出來你要簽名的交易信息,有時候甚至顯示的可能是一些看不懂的16進制字符串。那么在這種情況下,我建議最好不要去簽這種交易,也就是拒絕盲簽。
世鏈集團運營負責人Richard:我們知道,中心化錢包存資產,去中心化錢包存私鑰,如何防止私鑰泄露與丟失至關重要,您認為用戶該如何保存私鑰最安全?
TokenPocket聯合創始人&CTO陳總:我舉一些反例,目前我們錢包最經常遇到的情況就是,用戶將助記詞和私鑰截圖放在手機相冊里。但其實很多APP都有相冊讀取權限,所以保存在手機里就意味著你將這張圖分享給了手機里的大部分軟件。當然不同的系統是有不同的權限,IOS可能限制會高一點。
另外還有一些情況是,用戶用手機復制助記詞私鑰被其他APP讀取粘貼板,用戶將助記詞私鑰寫在紙上遺失了,甚至有用戶讓朋友去幫忙創建錢包,然后把私鑰再給到他,導致私鑰已經是泄露狀態。這從目前被偵破的盜幣案例來看也是這樣,有很大一部分是被身邊的朋友盜取。還有一些釣魚網站騙用戶輸入助記詞和私鑰,或者是海外telegram上面假扮客服騙取助記詞和私鑰。要注意,不管是TP官方,還是其他官方,任何人都不會要你的私鑰和助記詞。
Lido現已集成OKX Web3錢包:4月21日消息,據官方消息,基于以太坊的最大的流動性質押協議Lido Finance現已集成OKXWeb3錢包,用戶可以連接OKX Web3錢包在Lido進行以太坊質押,此外,用戶也可以直接通過OKX Web3錢包的Discover板塊搜索并進入Lido進行ETH質押,并獲得獎勵。
據了解,OKX Web3錢包是最全面的異構多鏈錢包,已支持50+條公鏈,涵蓋錢包、DEX、賺幣、NFT市場、Dapp探索5大板塊。此外,OKX Web3錢包已上線MPC無私鑰錢包,用戶無需再管理私鑰或者助記詞,即可輕松探索Web3世界。[2023/4/21 14:17:48]
以上主要是說我們錢包用戶遇到的一些情況,下面我再介紹一下如何去保存私鑰和助記詞。首先是我自己的錢包,我會分為常用和不常用兩種,將所有資料都存在1password這種專門存儲重要信息的軟件,然后我會去做分段的復制加密,把我的助記詞分成幾段,存在不同的地方。
除此之外,我也會買一個助記詞版,如果家里有保險箱,可以將助記詞板放到保險箱里,是相對比較安全的保管方式。如果有不用的手機,也可以作為一個冷錢包來使用。或者你懂技術多一點的話,也可以去做一些加密存儲,當然大部分是沒有必要的,用之前的方式也足夠了。
現在市面上已經有一些智能錢包,還有多簽錢包。智能錢包有一些社交的恢復機制確實挺好用,但是成本可能會會大一些。如果你的資產確實很大,而且需要共同去管理的話,我覺得多簽錢包也是一個很好的方式。比如你家里有三個人,可以做一個三二的多簽錢包,每個人管一個私鑰,也就是三個人其中有兩個人的私鑰才能去管理這個資產,那如果其中有一個人的私鑰丟了,也是可以避免資產損失。
Bitzlato已支持用戶提取50%的比特幣:3月22日消息,俄羅斯加密交易所Bitzlato的用戶現在可以提取部分資金。Bitzlato發言人表示,賬戶持有人最多可以提取50%的比特幣。最低提現金額為0.001 BTC,傭金為0.0003 BTC。用戶可以通過Telegram機器人下單取款,需要提供Bitzlato賬戶的電子郵件地址。驗證后,生成完成轉賬所需的代碼并發送到該電子郵箱。
此前消息,美國司法部于1月19日對俄羅斯交易平臺Bitzlato采取執法行動,Bitzlato聯合創始人兼大股東Anatoly Legkodymov在邁阿密被捕。(Bitcoin.com)[2023/3/22 13:19:12]
世鏈集團運營負責人Richard:除此之外,還有很多不法分子通過假空投、假APP、釣魚網站方式騙取錢包私鑰,您認為用戶該如何防騙?
TokenPocket聯合創始人&CTO陳總:其實假空投、假APP、釣魚網站正好是三種類型的盜幣方式。首先是假空投,一般都是騙取你去approve也是一種合約問題。其次是假APP,從來源上直接把手機錢包做成假的,然后讓用戶進入錢包直接被盜。最后是釣魚網站,一般也是會有approve,甚至是可讓你去輸入私鑰。我覺得最核心的問題就是私鑰這件事,除了你放錢包里,任何地方都不應該去輸入私鑰和助記詞。
尤其是假APP的問題,甚至有段時間百度搜索出現的比較知名的錢包,像TP、imtoken或者說其他錢包,連百度標志的官網都不是真正的官網。所以說這個事情很嚴重,大家還是要從多方去了解官網信息。然后假空投的話,如果是approve的情況下,其實現在很多錢包都有提示,包括像TP,你去授權一些東西的時候,它會很清晰的告訴你,你正在做一個什么樣的操作。一般正常來說,空投肯定不會讓你去做簽名操作的,一般可能輸一個地址就可以了。如果是說讓你去簽名,或者去商店就都是假的。
Cardano創始人暗示Vasil硬分叉將在9月升級:8月27日消息,Cardano的創始人Charles Hoskinson預計,如果一切順利并且沒有錯誤或減速延遲升級,Vasil硬分叉將在9月升級。IOHK將與Cardano社區合作,確定Vasil硬分叉的日期。此外,該團隊將與權益池運營商(SPO)舉行會議,以了解他們方面的最新準備情況。
Charles Hoskinson在8月26日的視頻廣播中表示,事情進展非常迅速,預計Vasil硬分叉最有可能在9月發生。開發人員和社區正在針對1.35.3節點進行廣泛的測試,集成和基礎設施看起來不錯。此外,除了積壓中的小錯誤外,沒有重大錯誤。(Coingape)[2022/8/27 12:52:25]
正好今天還遇到一件事,無聊猿官方的Instagram官方賬號被盜了,然后發了一個釣魚網站。很多無聊猿的大戶以為是官方肯定不會出問題,結果就被盜了,好像被盜了一百多只猴子。所以即使是官方,不管是郵箱或者任何渠道,我覺得大家也都要去警惕,不要輕易去相信。
世鏈集團運營負責人Richard:TokenPocket作為全球領先的多鏈自托管去中心化錢包,您認為TokenPocket在錢包安全性上有哪些比較好的措施和手段?
TokenPocket聯合創始人&CTO陳總:我覺得最核心的一點就是,TP在一些敏感操作上會有強提醒,包括approve,轉賬,授權,簽名之類的敏感操作。目前很大一部分用戶被盜其實都是在approve這一塊,但即使是有強提醒,還是會有一些用戶不顧提醒,然后去授權一些東西,我覺得這是很頭疼的事情。
除了強提醒,我們還有一個舉報機制。當我們收到舉報后會去審核,如果發現確實有問題的,我們會拉黑處理。一般情況下,我們是根據舉報程度有不同的措施,最嚴重的話就是完全訪問不了網頁。此外,我們也會遇到一些用戶給合約轉賬,那么大部分情況下,合約其實是沒辦法把幣取出來的,所以我們在轉賬頁面會有一個檢測,提示用戶轉賬的地址是個合約,可能會出問題。
作為錢包的話,我們有冷錢包,硬件錢包,觀察錢包,插件錢包等不同類型的錢,可以滿足不同安全需求的用戶。比如不是經常操作的用戶,可以用冷錢包;想要觀察資產變化和大V動向,可以用觀察錢包,不需要導入私鑰。我們今年年初和去年年底推出了硬件錢包,適合不經常操作,然后資產比較多的用戶,會選擇硬件錢包這樣的方式。
世鏈集團運營負責人Richard:Tokenpocket與一般去中心化錢包的區別是什么?它有哪些主要功能?
TokenPocket聯合創始人&CTO陳總:因為TP初創團隊都是做技術的,所以在設計還有開發錢包的時候,可能會更加開放一些。TP錢包是最早支持這種自定義的EVM,自定義波卡的錢包。而且我們錢包對一些開發者是比較友好的,TP會支持比較多的開發協議,包括自己也有一套這種協議,同時支持Mobile?的SDK,就是手機的APP也可以通過換取TP錢包來進行一些授權,
另外我們錢包現在也支持像ERC20、NFT還有一些DeFi的信息,此外token價格更新也是比較及時的,包括各個EVM的鏈。而且我們現在也做了聚合交易,包括跨鏈和本鏈的聚合。TP最早其實也支持冷錢包,觀察錢包,包括剛才說到的一些安全方面的措施。
世鏈集團運營負責人Richard:剛才陳總也講到了無聊猿被盜事件,前段時間還出現了周杰倫的NFT被盜,目前NFT的價值在不斷被人們認可,對于NFT資產的存儲安全有沒有特別需要注意的事項?
TokenPocket聯合創始人&CTO陳總:因為NFT其實它也是一個token,也有一個類似于approve的操作,就是授權。大家在去交易的時候要注意一下,不要去執行這個setApprovalForAll的方法,它其實就是授權NFT可以給這個人用。除了這個approve的方法以外,其實還有一個風險,比如OpenSea的掛單是通過去712的簽名,它雖然不是上鏈的,但是他確實會對交易造成影響,就是先去授權給OpenSea以后,你要賣多少錢,它還有第二步的簽名,這個簽名雖然不上鏈,但確實會影響你掛單的價格。
之前我聽說過一個新聞,有人去釣魚這個簽名。而他釣魚的方式無非就是讓我去簽名,然后把無聊猿或者說NFT以一個很小的價格去掛單,然后黑客以一個很低的價格來購買,從而盜取NFT。但是在整個過程中,你并沒有去交易,而是做了一個簡單的簽名。所以大家后面去做這樣的簽名要注意一下,你簽名的內容是不是真的。
所以NFT主要就是這兩部分,一部分就是剛才說的setApprovalForAll,另外一個就是你去簽名的內容要仔細辨別,我覺得應該就沒有什么太大問題了。
世鏈集團運營負責人Richard:請問TokenPocket是否有開源計劃?預計什么時候開源?
TokenPocket聯合創始人&CTO陳總:其實TP從最開始就做了一個開源的版本,但是這個開源版本一直沒有去跟進,沒有和現有版本進行一個同步。為什么呢?因為我們考慮到,其實開源并不一定就是最好的選擇,因為開源其實是一把雙刃劍,也會帶來一些安全上的隱患。而且也降低了一些作惡的成本,像前面所提到的很多黑客會去開發盜版的手機錢包。
如果我們把版本全部開源的話,其實黑客可以很簡單地改寫兩行代碼,做出來一個跟我們錢包幾乎一樣的東西,從而達到作惡的目的。所以全部開源也是一個很危險的事情,我們采取的做法就是保留了一個比較原始的開源版本,現在也有很多開發者基于這個開源的版本做一些事。而且現在很多主流的錢包都是不開源的,即使開源也只是開源部分比較核心的東西,而不會完全把所有內容都開源出去。
世鏈集團運營負責人Richard:對于去中心化錢包未來的發展,TokenPocket有何戰略規劃?
TokenPocket聯合創始人&CTO陳總:現在主要是分成兩個維度去做一些錢包相關的事情,第一個維度在不同端做不同端的錢包,包括一開始做的手機APP,后來做的桌面錢包,然后去年和今年又分別做了硬件錢包,插件錢包。我們后面會把各個端錢包的用戶體驗以及安全都做到一個非常好的使用場景,然后給不同安全需求的用戶打造舒適的使用體驗。
另外一個維度就是接不同的公鏈,其實我們現在接的比較主流,也就是大家常用的公鏈,后期也會考慮其他公鏈。比如最近推特的事情,可能我們也會考慮去接狗狗幣這類型的公鏈。最后的話,其實我們現在也在做一些鏈上協議的建設,包括孵化了一個聚合閃兌的協議,一個社交協議,以及后面我們也會在NFT相關領域做一些鏈上產品。
世鏈集團運營負責人Richard:非常感謝陳總的干貨分享,讓我們又重新學習了一遍區塊鏈安全知識。確實如陳總所說,去中心化錢包安全風險主要是錢包的來源和錢包使用的環境,大家一定要找官網渠道安全下載,切勿相信不明來源鏈接,也不要和任何人分享私鑰、助記詞。總之安全是前提,希望未來大家都能夠安全使用去中心化錢包,保護自己的資產。
Tags:APPTOKENKENTOKElbank交易所app下載安卓IN TokenToken of FireEpinToken
盡管Web3.0蘊含著更豐富的語義,但從行業角度看,Web3.0指的是一、網絡運維將以更加去中心化的方式進行。二、用戶數字身份,資產和數據歸個人所有。三、中心化組織架構的解構和重建.
1900/1/1 0:00:00UST脫錨、LUNA歸零,Terra憑借一己之力將數字資產行業拉下一個梯度,整個數字市場7000億美金市值化為空氣.
1900/1/1 0:00:00聽說昨天很多人熬夜看LUNA崩盤,還看出了點大空頭的大片既視感,還有另一部分人搶著時間在17點的位置抄底LUNA,結果今天又腰斬.
1900/1/1 0:00:00在Terra生態的算法穩定幣獲得成功之后,Waves、NEAR、TRON等公鏈紛紛推出了自己的算法穩定幣。而如今,Terra已經走下神臺,UST脫錨最低跌至0.2美元,LUNA也一度跌破1美元.
1900/1/1 0:00:00“波卡知識圖譜”是我們針對波卡從零到一的入門級文章,我們嘗試從波卡最基礎的部分講起,為大家提供全方位了解波卡的內容,當然這是一項巨大的工程,也充滿了挑戰.
1900/1/1 0:00:00Terra?將會被加密市場永遠銘記。Terra最初旨在創造實驗性的穩定幣。在短短一年里,Terra成為本輪周期中表現最好的資產之一,也發生了主流幣有史以來最壯觀的崩盤.
1900/1/1 0:00:00