比特币钱包不安全?链马告诉你一个最简单的方法

链马财经

发布时间:18-04-1817:49

链马,连接财经热点!

买了数字货币后,你把“钱”存在哪?

2017年数字货币被炒得火热,一年暴涨13倍,正所谓人红是非多,不断爆出交易平台被黑客入侵。

2018年1月27日,日本数字货币交易所召开新闻发布会,表示Coincheck钱包被盗损失了5.33亿美元的NEM代币(XEM),损失超过2014年Mt. Gox被盗事件。

这一消息可谓惊动了币圈投资者的心,每个人都担心自己的数字资产万一哪天被盗了。因为被盗你也只能认栽,就像你家遭小偷了,没人会赔偿你的损失。

随着比特币的崛起和上涨,全球数字货币未来前景受到关注和期待。在当下加密货币的火热带动下,安全存储成了最为关键的一环,一个安全可靠的数字货币钱包是数字资产存储地是至关重要的。

数字货币钱包的概念和用途

数字货币钱包是专门用来管理数字货币的一个应用。

钱包为管理资产提供了钱包地址创建、数字货币转账、交易历史的查询等基础的金融功能。

一个钱包原则上可以建立一个或多个钱包地址,但一个钱包地址只有一个公钥跟私钥。

公钥:主要是用来跟外部交易时使用,是发送给接收方的钱包公钥;

私钥:是唯一能够证明发送方对数字资产具有控制权的凭证,就是证明公钥上的资产凭什么证明是你的问题。对于数字钱包来说,私钥是最重要的,私钥的生成和存储方式决定了资产安全与否。

钱包分为哪几类?

钱包的功能

因为公钥是对外的,所有人都能看到,而私钥是证明数字资产唯一的证据,只有自己知道,所以数字货币钱包就是用来管理和使用私钥的工具。

最基本的功能:

1、 私钥的生成和管理;

2、 助记词的生成和管理;

3、 钱包地址的生成;

4、 导入其他钱包生成的私钥和助记词;

5、 对数字资产进行转账;

这是市面上常见的数字货币钱包常见的功能。但是,只要在互联网中使用,都会存在一定的不安全性。

1、用户使用上的安全隐患

将私钥托管在交易所是非常不安全的行为

通常大家都会将私钥托管在服务提供者的服务器上,而所有的数字货币交易所都采用这样的模式来管理用户的私钥。

你是不是都是这样使用的:

在这个过程中至少存在四种安全隐患:

1、 因平台被黑客攻击而导致资产丢失;

每年都有大量的平台因为黑客攻击,一旦攻击成功,因为区块链的不可追溯、不可挂失、匿名性,一旦丢失,就再也找不回来了。

2、 账户名和密码的安全性;

很多用户都习惯不同平台用同一个账户名和密码,如果其中的一个网站被攻击成功,那么网站所有的用户名和密码都可能被用于对交易所账户系统的登录攻击。一旦黑客获得用户托管账户的控制权限后,即可进行数字资产转移。

3、 浏览器的安全隐患;

在登录过程中,浏览器漏洞或插件也会导致你的账户密码外泄。

4、 网络传输的安全隐患;

主要是指在网络传输过程中受到HTTPS证书劫持或是中间人攻击行为。

常见的钱包模式

1、轻钱包模式

是指钱包应用不再钱包使用的设备里面假设完整区块节点,而是使用服务器提供的节点进行广播来进行交易。

目前所有的钱包APP都属于轻钱包模式,这样的模式如何创建私钥呢?

在云端生成私钥;在客户端生成私钥;

前一种模式,私钥其实是在别人的服务器上托管这的,一旦服务器被攻击成功,那么你的私钥极有可能不保。

后一种模式,则更重视钱包设计上的安全性。

输入方式上存在的风险

在数字资产交易中,需要输入一个PIN码来验证身份,PIN码的安全问题最好的办法就是避免Keystroke logging的出现,解决办法就是使用内置、乱序的安全键盘,可以最大程度的保证用户输入密码时的安全性。

2、技术上的安全问题

一个安全的数字货币钱包,在安全技术方面通常需要从5个维度进行设计:

运行环境的安全性;

因为私钥/助记词是存储在终端设备上的,无论是PC还是移动端,只要终端设备环境出现不安全问题,都容易导致私钥被盗。

终端上运行环境的安全问题主要围绕病毒软件、操作系统漏洞和硬件漏洞。

网络传输的安全风险;

网络传输的安全性更多的体现在是否有良好对抗别人攻击的能力上,这里主要是指MITM,指攻击者与通讯两端分别创建独立的联系,并交换其所收到的数据。两端的人以为自己正在和对方直接对话,其实整个对话被攻击者完全控制了。

虽然现在大部分的钱包都用HTTPS协议和服务端进行通讯,但是攻击者可以通过在用户终端中安装一个数字证书就能拿到HTTPS协议里面的内容了。

文件储存方式的安全风险

这里是指私钥/助记词在终端上的存储安全性,特别关注的是存储文件存放目录的访问权限。

特别提醒:在目前市面上绝大多数的钱包,私钥的存储都比较随意,即使有加密存储但也是在代码中写死的,根本没有任何安全作用。

应用自身的安全风险

主要集中在应用安装包自身的安全防御上。

判断应用安装包的安全防御性,看是否具备抗篡改能力的核心技术能力,另外,应用运行过程中的内存安全、反调试能力、私钥/助记词使用的生命周期、调试日志的安全性、开发流程的安全性等都对应用自身的安全有影响。

数据备份的安全风险

例如,android:allowBackup 属性设置为允许备份,那就可以利用系统的备份机制进行数据文件备份。一旦私钥/助记词被存储到了外部设备,那么操作系统的安全边界设计被打破。

如何应对数字货币钱包的安全风险?

链马根据个人多年的玩币经验,对于个人玩家来说,最好的方式就是那张纸记下来,然后放在一本你不看的书里,或者放在一个平时不开机的电脑中。我不联网,总行了吧!

对于钱包开发商来说,一旦出现应用安全漏洞,及时进行修复并给用户升级,然后重新创建一个新的钱包,通过转账的方式让用户将旧资产转移到新钱包中,再将旧钱包作废。

数字货币钱包遵循的安全标准

安全是加密数字货币钱包最根基的内容,一个安全的加密数字货币钱包应该能在任何时候都让用户私钥/助记词处于安全保护之下。

在此原则下,加密数字货币钱包的设计应遵循以下安全体系:基础安全体系、密钥管理安全体系、开发流程安全体系和用户行为安全体系

所以大家还是用最原始的办法记下来吧,这样最安全!

好了,今天的内容就这样了,明天我们继续第五讲《与钱包有关的那些话题》,不见不散!

返回顶部