以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 世界幣 > Info

a16z:私鑰屢被攻破?Web3安全還得從錢包說起_WEB:web3游戲是什么意思

Author:

Time:1900/1/1 0:00:00

個人對自己的私鑰有直接和唯一的控制權——堅持這種理念的加密錢包被稱為“非托管”錢包,這意味著外部無法訪問密鑰。直到一系列“非托管”錢包黑客事件——9月Wintermute私鑰遭“暴力破解”損失1.6億美元,8月侵入超過8000個賬戶的Slope錢包黑客,2020年盜取超過200萬美元IOTA的Trinity錢包黑客,2017年竊取15萬ETH的Parity錢包黑客,以及各種硬件錢包漏洞,模糊了托管和非托管錢包之間的安全界限。在此類案件中,受害者認為自己使用的是一個非托管錢包,但發現私鑰竟然被盜。事實上,非托管錢包并不能真正讓用戶完全控制自己的密鑰,因為錢包通常是由他人的軟硬件創建和運行的。用戶在不斷地信任第三方產品。這些產品集成或使用著區塊鏈命令行接口、錢包軟件和設備、中心化平臺、智能合約代碼、去中心化應用程序,而每一個接觸點都增加了風險。所有這些連接點加起來粉碎了人們對“非托管”概念的美好幻想。“非托管”實際上可能涉及許多托管元素。一般來說,密鑰管理可以分為三個方向:密鑰生成;密鑰存儲;密鑰使用。每個方向都有獨特的風險點。本文將介紹加密錢包安全和托管平臺的特征和缺陷,涵蓋未來最需要關注和發展的領域,旨在幫助Web3用戶更好地理解以非托管方式保護加密資產的復雜性。此外,我們也想幫助工程師識別和避免錢包開發中的常見故障點,借助我們多年來在Docker、Anchorage、Facebook和a16z加密系統中的綜合經驗,幫助用戶和項目方避免安全事故。密鑰生成

a16z crypto敦促英國考慮更細致的監管框架:金色財經報道,a16z crypto 在給英國財政部的一封公開信中表示,“一刀切”的加密資產交易監管方法不符合財政部“相同風險,相同監管結果”的核心設計原則,英國應該考慮采用“更細致的方法”來監管數字資產,政策制定者和監管者需要對去中心化在 web3 系統中的運作方式形成“更統一”的理解。

這份公開信是對英國政府 2 月份首次發布的咨詢文件的回應。該風險投資公司認為,監管框架應包括“基于原則的分析”,考慮給定平臺或協議的結構是否已經減輕了可能的風險,法規不應不必要地阻礙項目去中心化。a16z crypto 敦促監管 DeFi 應用程序和業務,而不是協議或軟件。此外,允許通過旨在實現去中心化的協議免費分發代幣的規則將對開發人員具有吸引力。[2023/5/2 14:37:46]

密鑰生成步驟的安全至關重要。在這個環節,有三個首要問題需要牢記:使用可靠的代碼、正確地實現代碼和安全地處理輸出。一些錢包提供商在他們的官方網站或Github存儲庫上發布的審計報告。自己做調查,試著確定錢包背后是否有信譽良好的公司。如果信息稀少,那么重要的用戶和開發人員的活動可能會是參考指標。遵循這些指導方針來減少風險。如果你的錢包沒有通過以下檢查,趕緊跑吧。不使用沒有經過足夠長時間的檢驗的錢包

a16z前合伙人Katie Haun數月前曾斥資4100萬美元在硅谷購置豪宅:11月30日消息, a16z前合伙人Katie Haun曾斥資4100萬美元在硅谷購置了一處房產。此筆物業的收購是在大約6個月之前通過場外交易完成的,也就是在FTX崩潰和加密市場崩盤之前。該豪宅位于位于美國舊金山的阿瑟頓,阿瑟頓是一座離市中心40分鐘左右路程的郊區小鎮,也被稱為硅谷富人住宅區。該豪宅占地近8,000平方英尺。

Haun目前是Coinbase的董事會成員,并在斯坦福商學院教授加密貨幣課程。此前今年3月份消息,Katie Haun領導的風投機構Haun Ventures已為兩個專注于加密貨幣的風投基金籌集了15億美元。(房地產八卦網站Dirt)[2022/11/30 21:12:03]

組成錢包的代碼應該有良好的聲譽。選擇編寫得很差的軟件,或者嘗試開發自己的替代方案可能會導致諸如密鑰泄漏或向未授權方透露機密信息等“災難事件”的發生。使用有多重保險的錢包

即使代碼使用信譽良好的密碼庫,也必須被正確集成。經過審核的軟件通常會默認設置正確的參數,但在執行過程中可能會出現漏洞。對于某些密鑰生成過程,例如許多多方計算算法,其中必須生成和協調許多單獨的密鑰——或密鑰碎片,密鑰片段,錢包應該遵循算法指定的協議。該算法可能還需要進行多輪計算和刷新密鑰,錢包必須正確集成這些密鑰,才能維護資金的安全。使用能“保守秘密”的錢包

元宇宙技術公司Improbable完成1.5億美元融資 a16z等領投:4月7日消息,元宇宙技術公司Improbable完成1.5億美元融資, a16z和軟銀愿景基金二期領投,Mirana、DCG、CMT、SIG和Ethereal Ventures等參投。

據了解,這筆資金主要用于建立由其 Morpheus 技術提供支持的可互操作元宇宙網絡 M2 (MSquared),該網絡將允許公司、品牌和創作者在其網絡內建立自己的元宇宙和 Web3 業務,組織涉及數千名玩家的社區的大規模體驗,并提供與現有區塊鏈和 Web3 業務的互操作性。[2022/4/7 14:10:49]

密鑰生成過程的最后階段涉及到軟件的實際操作和輸出。注意密鑰是在哪里生成的以及以什么形式生成的。理想情況下,密鑰應該在獨立的硬件中生成,信息應該使用可靠的算法進行加密。今年夏天遭到黑客攻擊的Slope錢包的密鑰生成后,以明文形式登錄到外部服務器。這種安全漏洞可能出現在代碼的審計或開源實現中。缺乏透明度的錢包——以封閉的源代碼為特征,對公眾沒有可用的第三方安全審計應該引起警覺。密鑰存儲

密鑰生成后,它們需要被隱藏在某個地方。但是,僅僅擁有存儲密鑰的設備并不一定等同于密鑰的所有權和控制權。必須考慮許多因素,如設備的供應鏈安全、設備的連接方式以及設備與哪些其他組件交互。此外,每種存儲方法在安全性、可訪問性、可維護性和可用性之間都有自己的權衡。下面,我們根據相關的所知的風險水平對最常見的錢包安全類別進行了分類。高風險:熱錢包

Jack Dorsey回應a16z合伙人:老實做你的風投合伙人:1月4日消息,a16z 合伙人 Chris Dixon 在推特上發布誰擁有 Web2,并貼出包括 Jack Dorsey 的 Block(前 Square)在內的 4 家公司股東信息。數據顯示,包括摩根士丹利、富達、高盛在內的 Block 公司前十大股權所有者總計持有超 30% 的股份。

對此,Jack Dorsey 回應 Chris Dixon:老老實實做你的 LP(有限合伙人)去吧。Chris Dixon 則表示:a16z 的 LP 主要是高校和基金會。雖然我們試圖找到向公眾開放 a16z 資金的途徑,但當下的美國法律禁止這樣做。[2022/1/4 8:24:04]

在其他條件相同的情況下,冷錢包比熱錢包更安全,但它們也更難用。連接到任何網絡的錢包都更容易被黑客攻擊,因為它讓攻擊者有更多機會發現和利用漏洞。熱錢包聯網有兩種形式:連接軟件:在線數據庫或Web服務器應用程序內存、瀏覽器擴展這些風險最高。因為錢包軟件不管是否托管,都可以直接訪問密鑰——所有這些都與外部互聯網相連。理想情況下,密鑰應該是加密的,而用于加密它們的另一組密鑰應該存儲在專用的密鑰管理系統中,該系統具有高度限制的訪問控制,如操作系統密鑰鏈或云密鑰管理系統。連接硬件:專用設備、移動安全區域、在線硬件安全模塊連接硬件通常被認為比連接軟件風險更低,但它仍然不如冷存儲安全。在連接的硬件中,密鑰只生成在專用硬件設備中。然后這些可以連接到內部或公共網絡。這類設備通常承擔與密鑰管理相關的多重責任,包括密鑰生成、簽名和存儲的安全性。還有硬件錢包,如Trezor和Ledger。也有硬件安全模塊,或稱HSM,通常用于更傳統的業務設置,如處理敏感數據處理的設置。設備的安全程度取決于生產和配置它們的供應鏈。當考慮連接硬件時,最好直接從可信的供應商那里購買設備。直接從源頭運過來,確保包裹看起來沒有損壞。也可以在使用之前驗證固件版本和配置。當然,硬件錢包以后總是有可能被盜或被未經授權的一方訪問。鑒于這些威脅,重要的是要確保硬件錢包也有安全的訪問控制層——安全措施確保它們不會盲目地簽署任何和所有的交易。控制可以包括密碼要求、對交易的每一步要求明確許可的提示,以及描述交易實際操作的簡單摘要。此外,大多數硬件錢包支持私鑰加密,也稱為“密鑰包裝”。風險較小:冷錢包

動態 | 風投公司a16z回應Facebook Libra治理問題:任何節點都將是平等的:據fortune消息,風投公司Andreessen Horowitz(a16z)發言表示:任何節點在Libra的治理問題上都將是平等的。與Andreessen一起,PayPal、Coinbase、Visa和MasterCard也是Libra協會的一部分,所有成員一同負責對Libra代幣的監督。 前司法部檢察官Haun表示,該協會面臨的挑戰是推動項目的發展,以促進創新,同時保護消費者。例如,若法院要求Libra追蹤用戶身份,協會應該如何應對等。[2019/6/21]

在其他條件相同的情況下,冷錢包通常被認為比熱錢包更安全,盡管它們通常也不太好用。冷錢包與任何內部或公共網絡都沒有連接。讓我們回顧一些冷錢包選項:離線軟件:離線服務器應用因為攻擊者可以在任何時候偷竊或使機器在線,冷錢包應該設計在線時的安全系統。與連接軟件相比,強烈推薦特殊用途的硬件,如HSM,因為它們通常提供更多的控制。離線硬件:離線硬件錢包、離線硬件安全模塊這種解決方案被認為是最安全的。與前面的類別類似,我們應該假設硬件可以被竊取并在線獲取。因此,正如前面所討論的,這些系統必須包含正確實現的訪問控制層。許多HSM供應商要求在解鎖密鑰訪問之前,必須有一定數量的物理智能卡聚集在一起。即使設備沒有顯示屏幕,它也應該為用戶提供一些方法來驗證交易的細節。因為冷錢包或離線錢包是最安全的一類,所以大公司管理的大多數資金都以這種方式存儲,如Coinbase、Gemini、Kraken等,以及Anchorage。這些玩家中的許多人還會選擇另一道防線——備份和恢復,以防萬一他們失去訪問權限,或者機器損壞、被盜或被摧毀。備份和恢復

簽名密鑰應該在加密后進行備份。加密簽名密鑰和密鑰包裝密鑰的重復是至關重要的。備份簽名密鑰的方法各不相同,但應該始終選擇硬件本機解決方案。對于硬件錢包,備份通常涉及一個純文本種子,從該短語派生出私鑰。標準加密密鑰具有可以導出密鑰的機制,這些密鑰在默認情況下使用訪問控制進行加密。如果滿足訪問控制,則可以將密鑰導入其他HSM。大量的HSM還可以提供一個通用的加密密鑰,該密鑰來自于智能卡的法定數量。以這種方式將硬件與關鍵材料分離有助于避免單點故障。最后,還要考慮人為因素。恢復機制應能夠承受帳戶管理業務中涉及的任何個人的臨時或永久不可用的情況。個人應確保在發生停機或其他緊急情況時,提供收回密鑰的方法。與此同時,群體運營應該確定一個人數,在突發事件發生時能繼續運營。密鑰使用

在生成并存儲密鑰之后,可以使用它們創建授權交易的數字簽名。軟件和硬件的組合越多,風險就越大。為了降低風險,錢包應該遵守以下授權和身份驗證指南。可信任,但也要驗證

錢包應該需要驗證。換句話說,應該驗證用戶的身份,并且只有授權方才能訪問錢包的內容。這里最常見的安全措施是PIN碼或密碼短語。更高級的身份驗證形式可以包括生物識別或基于公鑰加密的批準,例如來自多個其他安全設備的加密簽名。不要使用沒有經過足夠長時間的檢驗的錢包

錢包應該使用完善的密碼學庫。做一些調查,以確保它們被審計和安全,以避免密鑰材料泄漏或完全丟失私鑰。使問題更加復雜的是,即使是受信任的庫也可能具有不安全的接口,正如最近這些Ed25519庫的情況一樣。Nonce重用

一個經過充分研究的密鑰使用陷阱是某些加密簽名參數的無意重用。有些簽名方案可能需要一個一次性的意思,“只使用一次的數字”,意味著在一個系統中使用一次。因此,要確保正在使用完善的加密庫。但這種攻擊載體在Web3之外的高調黑客攻擊中也曾被利用過,比如2010年的索尼PlayStation3黑客攻擊。一密鑰一用

另一個最佳實踐經驗是避免為多個目的重用同一密鑰。例如,應該為加密和簽名保留單獨的密鑰。這遵循了在妥協情況下的“最小特權”原則,這意味著對任何資產、信息或操作的訪問應該僅限于對系統工作絕對需要的各方或代碼。根據不同的用途,不同的密鑰對備份和訪問管理有不同的要求。在Web3生態中,最好的做法是在資產和錢包之間分離密鑰和種子短語,這樣一個帳戶的泄露不會影響其他帳戶。總結

從生成到存儲到使用的許多相互作用的部分和階段,密鑰的保管是一個棘手的問題。密鑰所有權的托管或非托管性質并不像傳統觀念所認為的那樣非黑即白。由于涉及到密鑰管理的許多移動部分,情況變得復雜起來。這條鏈上的每一個硬件或軟件都會引入風險,甚至會使原本不屬于托管型錢包的選項暴露在托管型風險之下。對于未來,我們希望做更多的開發工作來保護錢包免受攻擊,并降低上面討論的風險。有待改進的領域包括:跨移動和桌面操作系統共享安全的開源密鑰管理和交易簽名庫;共享的開源交易審批框架。還有共享和開源的開發:在不同的存儲后端實現最佳的安全密鑰生成庫;用于移動和桌面操作系統的密鑰管理和交易簽名庫;交易審批流程框架,實現專門驗證,如生物識別、基于PKI的審批、授權恢復等。相關閱讀

私鑰泄露導致1.6億天價損失,關于私鑰你需要知道這些事

Tags:WEBWEB3AUNLIBweb3游戲是什么意思Web3GoldMatic Launchpadlibra幣現在的價格

世界幣
一覽StarkNet生態:項目進展、交互策略、空投情況_STARK:STA

StarkNet是Layer2四大天王之一StarkWare的拳頭產品。StarkWare曾在今年7月份發布了《StarkNet代幣設計》的Medium文章,明確表示會發行StarkNet的代幣.

1900/1/1 0:00:00
詳解NFT版稅改革:廝殺、內幕、何去何從_X2Y2:NFT

摘要 NFT市場在當前整體熊市的情況下進入到了激烈搏殺的階段。近期,以X2Y2為代表的交易平臺先后推出了零版稅功能。關于版稅是否應該存在,市場各方圍繞此進行了激烈的討論.

1900/1/1 0:00:00
以9家風投公司為例,談談如何對加密VC進行盡調?_ETH:DAO

免責聲明:本篇文章中提到的所有信息都僅做科普用途,不應被解釋或視為財務、法律、投資或任何其他形式的建議.

1900/1/1 0:00:00
以太坊L2明星擴容方案zkSync2.0全解析_SYNC:zksync幣與zks幣

長期以來圍繞著以太坊將如何擴展,以及哪種方式或技術將最成功,在區塊鏈行業一直爭論不休,經過四年的準備,zkSync2.0的推出或將終結這一紛爭,zkSync也是第一個推出主網的zkEVM.

1900/1/1 0:00:00
當Web3輕輕掠過房地產_WEB3:web3.0幣怎么提現到賬號

一,論一個行業的崩塌 如果把時間軸拉回到一年前,就是2021年8月,誰在朋友圈說一年后中國房地產三十強企業內的大部分民營公司,其債券價格都會跌到個位數.

1900/1/1 0:00:00
Jump Crypto:詳解為加密白帽設計的執行規范SAFU_ELA:DELC幣

科技的最大諷刺之處在于每一個新的解決方案要么限于技術問題而無法實施,要么壽命長到足以成為社會問題,這樣的情況在傳統科技公司身上已經屢見不鮮.

1900/1/1 0:00:00
ads