近期在鏈節點社區中,硬件錢包的話題再度被推上風口浪尖,其中最受關注仍是其安全性的討論。11月19日上午,Cobo硬件負責人劉力心和BITHD負責人果子作客連節點ChainNodeAMA,就硬件錢包開源的意義、安全芯片的安全價值、錢包產品未來的發展等話題展開了激烈的討論。
在本期AMA中,果子一陣見血地指出:對于硬件錢包來說,開源是“前提”,原因很簡單,每一個硬件錢包都需要“自證清白”,而你不開源,就完全沒法自證清白。
而劉力心則強調:錢包沒有絕對的安全這一說。一款合格硬件錢包相比于別的存幣方案,把被攻擊成功的可能性降到了最低。不合格的硬件錢包其實不一定比軟件錢包安全多少。
此外,兩位大咖就開源和安全芯片的問題還給出了很多優質回答,接下來就一起回顧一下吧。
Cobra:本輪牛市比特幣價格峰值或在3萬美元左右:7月28日晚間,Bitcoin.org網站共同所有者Cobra發推稱,如果比特幣推動新的牛市,我們有責任不鼓勵人們在非常高的價格買入。這一次價格峰值可能在3萬美元左右,然后價格將回落到1.5萬美元左右。Cobra提醒稱,永遠不要在峰值買入,除非你打算持有很多年。[2020/7/29]
對于硬件錢包來說,開源是“前提”
在傳統的計算領域中,開源支持者一直強調一個觀點——開源是更安全的,如Linus定律所說:只要有足夠多的眼睛,所有bug都是淺層的。
動態 | 投資者懷疑Cobinhood申請破產是退出騙局:據FXStreet 5月24日消息,加密貨幣交易所Cobinhood在Dexon ICO成功后申請破產。由于該公司管理層沒有提供細節,情況仍不明朗。Cobinhood已申請破產,并委任清算人處理勞工相關事宜。然而,矛盾的信息和管理層缺乏回應引發了退出騙局的傳聞。 該消息震驚整個社區,因為Cobinhood在2019年4月完成Dexon(DXN) ICO并籌集350萬美元。該公司本應于5月20日發行并分配在ICO出售的DXN代幣,但買家尚未收到代幣。DXN在幾個小時內暴跌85%,從0.15美元跌至0.04美元。COB在新聞發布時從0.006美元降至0.0026美元。 投資者懷疑該交易所進行一個退出騙局。推特網友稱,“來自Cobinhood和Dexon Foundation(同一家公司)的經典退出騙局。就在上個月籌集300萬美元后,他們解鎖所有代幣并將其傾倒在市場上,并宣布他們任命一名清算人。” Cobinhood和Dexon創始人之一黃偉寧試圖安撫社區。“臺灣公司正在重組,但一切照常進行。為了降低運營成本,我們取消質押的一些屬于基金會的節點。我們沒有傾銷任何基金會擁有的DXN代幣。”[2019/5/24]
在硬件錢包領域,這一點也同樣適用。但也同樣存在領域門檻較高,大多數用戶可能不會費力刻錄或調試源代碼的狀況,這時,錢包開源是否只能提供心理上的安慰而并不會有實質上的幫助?關于這一點,果子給出了這樣的回答:
聲音 | 眼鏡蛇Cobra:Casa節點“預同步”到最近的區塊高度后自行同步其余節點:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra在推特上發文表示,比特幣核心從創世區塊一直同步,而Casa節點從“預同步”到最近的區塊高度,然后再自行同步其余節點。如果沒有初始的預同步,則需要更長的時間,但是依賴預同步狀態也意味著信任Casa。[2019/3/3]
對于硬件錢包來說,開源是“前提”,原因很簡單,每一個硬件錢包都需要“自證清白”,而不開源,就完全沒法自證清白。用戶為什么需要硬件錢包?因為要把資產安全的保管在自己手里,無需信任第三方。
在“自證清白”這一點上,Trezor、Ledger和BITHD其實都是做的很努力的,我們的比太錢包開源指的是你能夠拿github上的版本庫編譯出任何一個版本的比太錢包,也就是說有興趣的話你可以自己驗證比太的清白;BITHD和Trezor也一樣,因為硬件設計+固件源碼全開源,任何有興趣的第三方都可以基于github上的內容做一個自己的BITHD和Trezor;這也同樣是自證清白;哪怕是Ledger,除了安全芯片+安全芯片中非常少的代碼外,你仍然可以自己做一款跟Ledger一樣的硬件錢包,這同樣是在自證清白方面做出的努力。
聲音 | Cobra:極端主義者是比特幣應用的最大威脅:比特幣官方論壇Bitcoin.org持有人眼鏡蛇Cobra在推特上發文稱,極端主義者是比特幣應用的最大威脅。他指出:“他們把有理性的人嚇跑,害社區,宣傳從不使用比特幣,用荒謬的價格預測來讓人發瘋,并試圖破壞正努力引入用戶的公司的聲譽。”[2019/1/3]
開源錢包很重要的一點就是任何第三方都可以通過提供的開源信息自己DIY出一款一模一樣的錢包,以此來證明果子提到的錢包本身的“清白”。除此以外,開源的另一個好處是為社區里更多的團隊做更多種類的硬件錢包提供便宜,這其實也是開源本身的意義之所在。
眼鏡蛇Cobra:閃電網絡實際上對比特幣的長期價值構成了威脅:“眼鏡蛇Cobra”剛剛在Reddit發貼表示,閃電網絡(LN)實際上對比特幣的長期價值構成了威脅。閃電網絡并不是比特幣專屬的可擴展性解決方案,而是任何可進行擴展的代幣的解決方案。當能以更低成本采用支持閃電網絡的代幣進行支付時,為什么還要使用比特幣呢?比特幣更適合通過側鏈進行擴展。“眼鏡蛇Cobra”是Bitcoin.org和Bitcointalk.org的負責人,是數字貨幣社區內神秘、卻具有大量控制權的人物。[2018/4/13]
如果子所說,這里硬件錢包的開源包括了硬件設計全部開源、固件源碼全部開源,和完整的版本歷史全部開源。在日常使用中,用戶會遇到安全芯片里有芯片廠商的代碼,卻沒有錢包廠商的代碼的情況,這時是否符合全開源的要求呢?果子補充道:
如果是像Ledger這類的雙芯片模型,主芯片+密碼芯片模型,主芯片中包含了全部固件邏輯,密碼芯片包含了私鑰簽名相關邏輯,這種雖然不能算嚴格意義上的開源,但其實還是比較接近的,因為你可以自己參考這個方案做出自己版本的Ledger,你可以選擇一樣的主芯片運行Ledger的固件代碼,再自行選擇一個自己覺得合適的密碼芯片,在里面編寫自己需要的這部分代碼,最終能夠做出自己版本的硬件錢包。
沒有絕對的安全,當攻擊需要付出的成本遠小于收益時,可以視為安全
錢包開源歸根結底是為保護資產安全服務的,對于持幣者來說,最關心也就是錢包開源能否為資產帶來絕對的安全?硬件錢包開源主要面臨的安全挑戰無外乎錢包方偷偷留有后門和黑客的攻擊,關于這兩點,果子表示:
首先,世界上不存在“絕對”的事情,安全也一樣。通常來說,當攻擊需要付出的成本遠小于收益時,可以視為安全。
針對上述兩種風險,第一點,開源硬件錢包通過代碼、固件開源可以自證錢包本身的清白,杜絕任何后門。如果使用不開源的錢包就始終要面臨著后門的威脅。第二點,因為BITHD為不聯網的硬件冷錢包,使黑客的遠程攻擊幾乎變成了不可能。如果是獲取錢包進行物理攻擊則需要付出巨大成本。加上BITHD擁有密碼賬戶功能,當你在BITHD開啟密碼賬戶功能時,黑客即使付出了巨大的成本獲取了你的助記詞,在無法得知你自定義的密碼的情況下,仍然無法完成攻擊。
關于硬件錢包的安全問題,劉力心補充道:
安全沒有絕對的安全這一說。一款合格硬件錢包相比于別的存幣方案,把被攻擊成功的可能性降到了最低。不合格的硬件錢包其實不一定比軟件錢包安全多少。另外,其實相對硬件錢包的安全性,人為原因造成丟幣的可能性更大。比如最關鍵的助記詞如何保存。
也有用戶提出,硬件錢包開源后從代碼角度可以提高資產的安全。那么同樣的硬件錢包代碼的開源能否保證芯片等硬件本身的安全性?關于這點,劉力心表示:
硬件部分的安全性,這里最核心的部分就是安全芯片的安全性——有一種攻擊形式是,黑客在用戶收到產品前對產品進行了篡改,把安全芯片給禁用掉了或者繞過了。安全芯片不再正常工作,所有的相關密碼學運算沒有發生在安全芯片內。為了避免這種攻擊,Cobo金庫設計了驗真環節,確保安全芯片正常工作。只要保證安全芯片沒有被禁用或者繞過,安全芯片再去驗證上層應用的安全性。
安全芯片的核心保護對象是私鑰的真隨機性,而這一隨機數正是加密算法背后的關鍵核心。正如劉力心關于Cobo錢包的介紹那樣:安全芯片的使用、官網驗證環節、防拆觸發的結構設計、passphrase功能、金屬助記板等等功能,為用戶資產做足了安全保障,不會受到供應鏈攻擊、旁路攻擊等威脅,即使攻擊者拿到你的金庫,也只是拿到了一塊磚而已。
以上就是本次AMA中劉力心和果子關于錢包開源和安全芯片的問題給出的一些解答,開源已經成為硬件錢包未來的趨勢——資產安全的探索,我們從未停止。
詳情回顧本期AMA:https://www.chainnode.com/ama/399418-2
12月19日,恒生電子舉辦“iBLOCKCHAIN”區塊鏈新品發布會,這是恒生電子自2015年著手研究區塊鏈以來召開的最盛大的區塊鏈新品發布會.
1900/1/1 0:00:00來源:小蔥區塊鏈 根據數字資產管理公司CoinShares的一份報告,中國的比特幣礦工現在控制著三分之二的全球算力.
1900/1/1 0:00:00嘉楠科技在納斯達克上市一周了,比特幣價格并沒有變化。作為「全球區塊鏈礦機第一股」,作為全球第二大礦機生產商,嘉楠耘智上市在行業內不算件小事.
1900/1/1 0:00:00據BeInCrypto報道,隨著伊斯坦布爾升級順利完成,以太坊2.0也正在取得進展,但是完整的ETH2.0時間表卻還沒有公布.
1900/1/1 0:00:00來源:21世紀經濟報道 作者:駱軼琪 區塊鏈作為底層技術的一種,在政策風向的支持下,正吸引越來越多應用落地的探索.
1900/1/1 0:00:00編者注:原標題為《微軟與標準共識暢談區塊鏈|標準共識》。編者對本文作了不改變原意的刪減。介紹:區塊鏈技術應用已延伸到數字金融、物聯網、智能制造、供應鏈管理等多個領域.
1900/1/1 0:00:00