硬件钱包真的安全吗,小白该如何保护自己的钱包安全?
摘要: 钱包作为加密世界的一个入口却频频发生被盗事件,很多用会购买硬件钱包,但是硬件真的安全吗?
(图片来源:网络)
截至当期加密货币总市值是¥19,550.44亿(数据源自行情软件),虽然较之前大幅缩水,但仍然是一个庞大的市场,如果把资产存储在交易所可能会涉及到风险,但是钱包又频频出现意外,那么该如何保护我们的数字资产呢?
钱包的分类
目前市场上用的按形式分类可以分成软件钱包与硬件钱包(也称冷钱包),多数用户以为自己用的硬件钱包或者是采用冷钱包的形式自己的资产就是安全的,事实并不是这样的.....
硬件钱包的安全
对于硬件钱包,市场上目前为两种: 一种是以芯片类硬件钱包;另一种是基于安卓系统诞生的手机类钱包。
芯片钱包:目前只有Ledger Nano S这样少数采用安全芯片保管私钥的硬件钱包,其他知名的芯片钱包如trezor采用的都是普通芯片,黑客如果对硬件钱包进行进行电子攻击(即SPA与DPA攻击),普通芯片钱包则束手无策。
手机类钱包:是将keystore放在内存中,内存中是没有做安全防护,这恰恰就是黑客能够抓住的机会,因为大多手机类钱包都面临着丢失后容易被黑客进行物理破解的问题。
小编认为如果硬件钱包不慎丢失落入黑客之手,他就能直接拷贝盗取钱包中存放的数字货币。2017年,在美国拉斯维加斯举行的世界黑客大会DEF CON 25上,国外某安全团队,就向观众演示了如何破解比特币硬件钱包,其中就包括最古老的比特币钱包Trezor,黑客在拿到Trezor后,通过拆除其外壳,就可以利用漏洞,转走比特币。这个过程最快只需要15秒。
目前国内大部分的钱包是基于手机平台(MTK)的钱包,而MTK或者高通芯片在手机市场上占有的比例很高,网上想找到破解这种芯片的程序非常容易。当黑客拿到我们高通或者MTK手机的时候不需要ROOT和开机密码直接破解。在对多款MTK钱包进行测试时发现,通过导出钱包固件,不仅可以看到多个币种的缓存信息,还可以找到生成助记词的各种库。
安全等级划分
360集团信息安全部发布《数字货币钱包安全白皮书》中曾提到“某钱包APP存在加密存储漏洞,该钱包APP在第一次运行时,默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地,攻击者可读取存储的钱包文件,通过对钱包应用逆向分析等技术手段,还原该钱包的算法逻辑,并由此直接恢复出用户的助记词以及根密钥等敏感数据。”
(来源:360数字货币钱包安全白皮书)
(来源:360数字货币钱包安全白皮书)
(来源:360数字货币钱包安全白皮书)
安全人员在无root权限(安卓手机的最高权限)下的截屏、录屏就可以得到助记词、交易密码等信息;利用Janus签名问题(签名漏洞可以让攻击者绕过安卓系统的签名机制)对APP进行伪造;将软件植入恶意代码,可以修改转账人地址等操作。这些都会直接威胁用户数字货币安全。”
随着钱包热兴起,越来越多的钱包加入了这个市场,各式各样的钱包让人眼花缭乱,有做咨询的、理财的、挖矿的、交易聚合等等,可以畅想未来钱包会成为个人在加密货币市场里一个入口,拥有非常多的可能和机会,但是钱包最重要的往往是安全、易用、便捷。安全的不到位,恐怕在未来市场里面对大基数的用户也会无可奈何的,最终只能毁灭在转换的浪潮中...
黑客如何获取你的钱包信息,小白怎样保护钱包安全?
(来源:360数字货币钱包安全白皮书)
那么对于我们普通用户来说,想保证好自己的资产安全除了选择一个靠谱的链上钱包之外,最重要的就是自身也要用安全防范意识,经求实,其实大部分APP拥有你剪贴板的粘贴权限,也就是说每次你复制粘贴私钥、助记词和Keystore的时候都会被这些app记录记录下来。标准操作的钱包APP还好,一旦这类APP的研发者有了其他想法,那你的钱包就会被破解数字资产很可能不翼而飞。
1、保护好自己的钱包秘钥、助记词,千万不要复制粘贴,相对来说keystore带密码它的破解程度相对来说比较复杂,但是最好也不要用。
2、助记词一定要设置密码,目前大部分钱包在创建助记词的时候为了方便都会把助记词,这样就密码忽略,如果设置了密码算别人拿到了助记词拿不到密码你的资产还是相对来说安全的。(相同助记词密码不同打开的钱包也不同 )
3、当他人询问其资产问题时,谨慎加以回答,不要把自己的数据资产私钥、助记词等存储在微信、qq邮箱、百度网盘等等云存储里面。这些信息如果存储在这里是可以被一些人拿到数据的。手机和电脑设备被盗,立刻转移资产、修改密码、向交易平台反应等等。你的旧手机也不要出售,为了一点点钱可是你的个人信息甚至你的数字资产都有可能落入他人之手。
小编认为密码为空的账号存在很大的隐患,假如随着技术的飞进,技术人员只需要暴力碰撞助记词,说不定能碰撞出你们正确的助记词,而助记词没有密码,币就等于送予他人。会有人有疑问,助记词怎么会轻易碰撞出来,可是你们知道吗?据传当年爱迪生为了找到合适的灯丝,经过13个月的艰苦奋斗,试用了6000多种材料,试验了7000多次,最后才找到一个合适的灯丝。一样的道理,如何保证三、五年后碰撞不了一个没有密码的助记词呢?
总之在你使用任何数字货币钱包之前,你一定要确保你个人私密信息的安全,数字资产也要记得分散存放,往往大多数情况是在你不知情的情况下被黑客窃取了,黑客虽然防不胜防,但是尽可能的正确操作小心谨慎能尽量避免,不要因为一时的懒惰而落下遗憾。
(作者:NEST,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?