Ledger被黑前在中國就不香了？ 國民最佳錢包該是什么樣丨鏈節點AMA_LED:BRIDGE幣

12月21日，黑客網站Raidforums公開了從硬件錢包制造商Ledger中竊取的100多萬封客戶電子郵件。Ledger隨后表示“確實可能是我們2020年6月電子商務數據庫的內容”。

硬件錢包盡管主打安全牌，但是硬件錢包漏洞和丟幣事件卻也從未銷聲匿跡。隨著比特幣逼近30000美元，用戶繼續安全的地方來存儲自己的比特幣，而硬件錢包真的安全嗎？

12月30日，周三，下午2:00，HolderWallet負責人、巴比特UED總監阿本、庫神錢包商務VP吳美霖做客鏈節點進行AMA，教你如何選擇一款適合自己的硬件錢包。

以下是本場AMA的精彩部分：

硬件錢包采用開源普通芯片Vs.和安全芯片問題，哪個更重要些？

阿本：

XRPL Labs：可利用三種方法在XRP Ledger上創建NFT:XRPL Labs的Hubert Getrouw解釋了XRP Ledger如何準備將NFT容納到其網絡中。 Getrouw表示，一種方法是使用一個地址，然后再將其黑掉，這意味著將不能再創建另一個代幣，因而每次創建NFT時都必須創建一個新帳戶。另一種方法是，可以使用一個帳戶并向其中添加域名，因為XRP Ledger允許用戶將域添加到帳戶設置。第三種方法是批量發行多個代幣，流程完成后，賬戶就會被黑掉。據此前報道，XRPL Labs官方宣布，XRP社區對XRP Ledge支持NFT感興趣，將針對XRP Ledger支持NFT的可能性發布報告。（dailyhodl）[2021/3/10 18:30:22]

開源不等于安全，開源只是自證清白的手段。在硬件錢包都屬于完全隔絕網絡的情況下，其實主要考慮的是如何不被「物理攻破」從而獲取錢包里的私鑰。在「物理攻破」層面，采用安全芯片會更加安全。

The Block研究總監：Ledger遭黑客攻擊事件致其信息泄露高達50%:12月21日消息，The Block研究總監Larry Cermak發推表示，Ledger的信息泄漏事件比想象當中要嚴重得多，在與購買Ledgers的用戶進行對照檢查后，發現其泄露信息命中率約為50％，該信息包括家庭住址以及電話號碼。Larry稱，這也是在提醒用戶不要將真實地址和電話號碼用于與加密貨幣相關的購買。[2020/12/21 15:55:52]

打個比方，如果硬件錢包是我們為用戶搭建的「私人金庫」，開源應用層代碼其實是把「金庫圖紙」交給所有人，從而告訴你們該金庫并沒有保留用戶所不知道的「后門」，但同時增加了不法之徒想要通過圖紙了解金庫結構從而采用其他方式進入金庫的可能性。而安全芯片可以理解為「私人金庫」里為你量身定做的軍工級「保險箱」，里面存儲著你的「私鑰」，這樣哪怕黑客進入了你的私人金庫，但是沒有保險箱的密碼，他也永遠拿不走你的「私鑰」。

所以其實在「金庫圖紙」都公布的情況下，采用「安全芯片」相當于給用戶在「私人金庫」里再加了一個經過計算機安全國際標準認證的「保險箱」，成本雖然高了，但是更安全了。

調查：假冒Chrome擴展程序“Ledger Live”上個月已經竊取逾20萬枚XRP:在最近的一項調查中，“xrplorer forensics”發現“Ledger Live”是一個詐騙性的Google Chrome擴展，它可以收集用戶的備份密碼。xrplorer forensics在一系列推文中揭示了這些擴展在谷歌搜索中做廣告，并使用谷歌文檔來收集數據：“賬戶被清空，僅上個月就有20多萬XRP被盜。我們沒有其他加密貨幣的數據。永遠不要直接從供應商以外的地方下載用于硬件錢包的工具。屏幕截圖顯示了來自擴展的POST請求。這些XRP大部分都是通過HitBTC兌現的。”

此前消息，MyCrypto平臺的安全主管Harry Denley發現，一個名為Ledger Live的Chrome擴展程序，它試圖冒充真實的Ledger Live應用，獲取用戶Ledger錢包的恢復種子（創建Ledger錢包時設置的12或24個單詞的助記詞）并竊取資產。（AMBCrypto）[2020/3/25]

吳美霖：

IOST正式加入Hyperledger超級賬本:據Hyperledger超級賬本官網消息，近日，IOST與沃爾瑪、Clear以及Conduent等共同加入聯盟鏈系統——Hyperledger超級賬本，成為其超級會員。Hyperledger是Linux基金會旗下的開源項目，同時也是一項旨在促進跨行業區塊鏈技術的開源協作組織。IOST表示，未來將同Hyperledger社區內IBM、華為、阿里等眾多商業巨頭一起堅定不移地推進跨行業區塊鏈技術的發展。[2020/3/19]

安全芯片和錢包開源是不能兼顧的，目前庫神錢包也是因為我們使用的是安全芯片，而安全芯片提供的算法致使我們無法開源。安全芯片和普通芯片的差別還是很大的。我們都在說數字貨幣加密，而加密算法背后最重要的核心就是隨機數。安全芯片可以生成真隨機數，隨機性大于非安全芯片生成的偽隨機數。所以我們權衡利弊的時候，一定要保留安全芯片。

開源=絕對去信任？你手上的硬件錢包的代碼真的是廠商說的代碼嗎？

動態 | Ledger錢包計劃于11月15日暫停BCH服務:據bitcoin.com報道，10月30日，Ledger公布了針對11月15日即將進行的比特幣現金（BCH）硬叉的應急計劃，Ledger將于11月15日暫停BCH服務，計劃等到出現主鏈后恢復BCH服務。[2018/11/2]

吳美霖：

開源與不開源決定不了錢包的安全性，開源就是把代碼公開，更透明一些，至于代碼以及到手的硬件錢包是否采用的源代碼用戶是不得而知的，除非像你說的那樣把硬件拆下來拿去反編譯一下。對沒有過硬技術的普通用戶來說，還是選擇靠譜的品牌錢包比較重要。

4.HolderWallet的雙芯片架構智能硬件錢包，是否可以理解同時具備智能錢包和硬件錢包的優點？智能硬件錢包會是以后錢包的方向嗎？

阿本：

HolderWallet采用雙芯片架構，「安全芯片」保障私鑰的安全，「AI芯片」優化產品體驗產品，所以同時兼顧了安全和智能。

我認為以后的硬件錢包能做更多事情，而不僅僅是「存儲」，所以我們稱HolderWallet為「第一款智能硬件錢包」，再加上今年Defi的爆發作為契機，以后的智能硬件錢包會有更多可能性。

DeFi保險類COVER最近被黑客侵入，價格甚至一度歸零。硬件錢包如何解決這類問題？

阿本：

COVER這個案例特別典型，它的代碼就是全開源的，但正是因為開源，讓黑客發現了它的漏洞，從而鑄造了基本無限量的COVER代幣，這就是為什么「開源不等于安全，開源只是自證清白的手段」。

而HolderWallet采用的「雙芯片架構」分工明確：「AI智能芯片」負責應用層的邏輯交互，而「安全芯片」只負責生成并存儲用戶的「私鑰」以及在使用過程中的「簽名」，而CCEAL6+是由國際權威機構認證的安全級別，保障了私鑰的生成過程足夠隨機、「存儲」及「簽名」的方式足夠安全。

CC是指信息技術安全評估標準，這是基于計算機安全認證的國際標準，而EAL是經過CC標準評估后給出的安全級別，目前共有1-7級，越高越安全。到目前為止，HolderWallet采用的CCEAL6+安全芯片已經是業內最高標準，達到了軍工級別。

安全芯片提供了增強型的安全特性，支持電氣環境監測，可對抗功耗分析和故障注入等。具備安全芯片隔離區內生成密鑰樹種子，加密存儲私鑰，隔離區離線簽名；具備防暴力撞擊和暴力自毀保護，防供應鏈攻擊、女傭攻擊和字典攻擊，防系統漏洞和中間人攻擊。

芯片內置了物理真隨機發生器，通過采集量子隨機運動狀態生成無規律的真隨機數，摒棄一切軟件錢包依賴的偽隨機函數和算法，真正做到去偽存真，讓規律碰撞攻擊無從下手。

硬件錢包性價比本來就不高，安全芯片更是推高了成本。即便有硬件錢包，總還要把助記詞備份在卡片上吧，明文卡片助記詞，也存在像硬件錢包一樣被盜的概率吧，就像木桶定律，安全的最大短板不是卡片上備份的助記詞嗎？安全芯片在性價比綜合考慮下真的有那么必要嗎？

吳美霖:

安全芯片的作用是安全合成以及儲存私鑰，以及保證密碼的隨機性，是重中之重。所以安全芯片是大前提，當然助記詞也要好好保管。

阿本：

1、增加安全芯片確實會提升硬件錢包成本，但我認為硬件錢包的本質就是「最大限度地保障用戶私鑰安全」，所以在這個前提下，這些成本物超所值。

2、「助記詞」確實是最核心需要用戶保護的「阿喀琉斯之踵」，所以我一直認為其實保護好自己的數字資產不是一個「安全問題」，而是一個「社會工程學問題」，我們能夠保證存儲在HolderWallet里的「私鑰」絕對安全，但是保管好「助記詞」這件事，需要用戶層面加以更多關注。核心理念就像三體里所說的「藏好自己，做好清理」。

事物發展的方向永遠都是化繁為，市面上也出現了軟件冷錢包，比如Ownbit和ParitySigner這種，便宜，安全級別類似且可實現更復雜的功能，比如多簽冷錢包。硬件錢包未來需要如何發展才能保持市場競爭力？

阿本：

每種錢包都有自己的特定用戶，確實并非所有用戶都需要考慮使用硬件錢包，在自身「安全意識」足夠健壯的情況下，任何方式都可能是一個好方法，哪怕只是一張紙：

而硬件錢包HolderWallet實際上是希望能夠幫助那些自身「安全意識」不那么健壯，或者是希望自己資產得到「最大限度安全保障」的用戶存儲他們的私鑰。

而要得到「最大限度安全保障」，光靠軟件是不夠的，還需要底層硬件做支撐，這是硬件錢包的根本，像您說的，「事物發展的方向永遠都是化繁為簡」，在安全這層，我們希望盡量恒定所有「繁雜的變量」，才能把安全做到「極致地簡單」。

最近BTC價格創新高，為幣圈吸引了一大批新人。小白用戶該如何存儲數字資產？硬件錢包是不是門檻太高了？

吳美霖:

很多人都說我是新人沒必要了解錢包或者用不到錢包，其實安全對于我們來說從來都不分金額大小，積小成多，每一步資金的積累都離不開安全的防護。我給大家的建議是在買幣之前一定要先了解行業的發展及儲存數字資產的工具，這樣有了幣才能留住幣，才算是把錢牢牢地抓在自己手里。

阿本：

正好相反，硬件錢包作為一個「存儲數字資產」的工具而言，它的門檻并不高。因為核心流程就是生成私鑰——備份助記詞——然后把資產轉賬給您在硬件中生成的錢包地址里，不用擔心是否因為聯網被人盜取私鑰，不用擔心是否把資產存在交易所會出現第二個「門頭溝事件」。

而您唯一要做的，就是「藏好自己，做好清理」，做時間的朋友。

Tags：EDGEDGEDGELEDHedget TokenHedgePayBRIDGE幣ledger錢包是哪個國家的

酷幣