宇宙链 宇宙链
Ctrl+D收藏宇宙链

数据泄漏 硬件冷钱与软件冷钱包谁更安全

作者:

时间:1900/1/1 0:00:00

这两天硬件冷钱包厂商 Ledger 的用户数据泄漏事件闹的沸沸扬扬。我看了一下泄漏数据,我的名字和信息也赫然在列!很显然,数据泄漏对用户造成了利益侵害,然而我觉得更加值得探讨是硬件钱包方向的问题。

之前,我也使用 Ledger。后来,因为看到硬件冷钱包的种种缺点,以及软件冷钱包的兴起,才毅然决定做 Ownbit 软件冷钱包。

软件冷钱包

不同于硬件冷钱包,软件冷钱包使用纯软件的方式实现冷钱包功能。用户需要使用两部手机,其中一部永久离线,作为冷钱包存储私钥(助记词)。另一部联网,作为观察钱包使用。

软件冷钱包和硬件冷钱包实现同样的功能,安全级别类似。但是它们有一些显著的区别:

加密交易所Coinsquare:此前遭遇数据泄露,目前已逐渐恢复运营:11月26日消息,加密交易所Coinsquare表示此前遭遇数据泄露,导致用户个人信息泄露,11月19日,Coinsquare暂时关闭运营以调查其平台上的异常活动,几天的积极措施让Coinsquare逐渐恢复运营。

在给投资者的后续电子邮件中,Coinsquare承认他们的客户数据库在事件中泄露了个人信息,第三方很可能访问了该数据库。(cointelegraph)[2022/11/26 20:48:21]

软件冷钱包可以使用闲置手机,没有额外的硬件;

硬件冷钱包通过数据线或蓝牙传输数据,而软件冷钱包通过扫描二维码;

可信任的助记词

电商巨头Shopify因2020年数据泄露而被加密货币持有者起诉:4月5日消息,加密货币持有者起诉电商巨头Shopify和外包公司TaskUS,集体诉讼称,2020年安全漏洞使该公司的硬件钱包Ledger用户遭受黑客攻击和加密盗窃。(Law360)[2022/4/5 14:04:28]

软件冷钱包可以实现更彻底的去信任(即不需要信任软件开发者),用户可以自行证明其钱包的绝对安全性。

在资产安全中,首当其冲的是助记词的安全。而在助记词的安全中,首要确认是助记词生成的随机性。如果您使用了一个作恶的硬件厂商(或者有bug)的硬件钱包,您可能在第一步就已经陷落了。因为您拿到的助记词可能不是随机的,是预先生成的,或者是假随机的。

外媒:美国电信巨头T-Mobile正在调查大规模用户数据泄露事件:美国电信巨头T-Mobile正在调查一宗可能影响1亿多用户的大规模数据泄露事件。据Vice的Motherboard报道,有人在一个地下论坛上发帖公布了这一事件,黑客声称已经从T-Mobile服务器获取了超过1亿用户的数据,并索要6枚比特币赎金(约28.7万美元)以换取部分数据。Motherboard已经看到了黑客公布的样本数据,其中包括社会保障号码,电话号码,姓名,居住地址,唯一的IMEI号码和驾照信息。该卖家告诉媒体,他们目前正在私下出售大部分数据,但将交出包含3000万个社会保障号码和驾照的数据子集,以换取比特币赎金。(Cointelegraph)[2021/8/16 22:17:03]

硬件冷钱包无法向用户证明在这点上它们是安全的。我们继续使用硬件钱包是基于对该硬件厂商的信任,而这点在数字货币的世界里是脆弱的。软件冷钱包却能给出证明。

分析 | Instagram数据泄露报告证明应该远离Facebook的加密项目:据CCN5月21日消息,安全研究员Anurag Sen发现一个公共亚马逊网络服务(AWS)数据库,其中包含超过4900万个Instagram账户的联系信息。Facebook是Instagram和大多数其他社交媒体的垄断所有者。 公开数据库包括来自Instagram帐户的公共信息,例如某个特定用户的粉丝数量、喜好和分享内容。然而,更令人担忧的是,其中包含了众多账户所有者的电子邮件地址和电话号码,而Instagram据称对这些信息保密。社交媒体营销公司Chtrbox拥有该数据库。该公司利用公共信息计算每个账户的净值,并可能通过获得的联系信息提供报价。Facebook表示,“我们正在调查这个问题,以了解所描述的数据(包括电子邮件和电话号码)是来自Instagram还是其他来源。” CCN文章称,Instagram数据泄露报告进一步证明Facebook不关心或不知道如何保护用户隐私。在过去五年,Facebook在不同的场合泄露其用户私人信息。Facebook的加密项目或即将到来,但最近的数据泄露提醒我们应该远离地狱。据此前报道,加密项目Project Libra已经进行一年多。[2019/5/21]

在使用软件冷钱包时,你可选择信任软件,让其帮助您生成助记词。也可以选择不信任软件,自行在它处生成助记词。然后通过离线导入的方式生成冷钱包。因为冷钱包的设备是永久离线,不存在向互联网传输数据的可能(唯一的交互是通过二维码扫描和观察钱包之间进行明文传输,可审查),所以助记词的安全性得到了绝对的保障。

因此,软件冷钱包的助记词的安全性高于硬件冷钱包。

蓝牙 vs 二维码传输

硬件冷钱包和软件冷钱包在数据传输上的方式差别也非常大。一般而言,硬件钱包通过蓝牙与手机软件相连接。而软件冷钱包则是通过二维码扫描进行数据传输。

蓝牙传输方案的优点是:数据量大小不受限制。而这正是二维码传输的缺点。因为一张二维码所能包含的信息有限,对于有较大数据传输的场景,该缺点显得尤为突出。例如:较大的比特币交易(UTXO数量庞大)。

蓝牙传输方案的缺点是:安全性低于二维码传输。其安全性弱主要来自于两个方面。一方面是不同的蓝牙协议版本可能存在已知或未知的bug,在特定场景下,可能存在安全隐患。另一点是,蓝牙传输方案留下了被其他设备干扰攻击的可能。在短距离范围内(10米内),通过其他蓝牙设备进行针对性的干扰或攻击。而这点在二维码传输的方案里,是完全不存在的。

蓝牙传输的另一个弱点是:可审计性差。而这点也是二维码传输的一个巨大优势。用户可以明文查看所有通过二维码传输的内容,以确认任何传输的信息都是安全的。这点可以让软件冷钱包方案提供商实现去信任,即用户可以在数据传输层面确保其私钥(助记词)不受泄漏,而不用去信任该方案的提供商或开发人员、甚至不用担心软件本身可能存在的bug。

经济性和灵活性

软件冷钱包可以使用闲置的手机作为冷钱包存储,而无需购买额外的硬件。因此更加经济。

更重要的是,软件冷钱包比硬件冷钱包更加灵活。通常软件冷钱包可以实现比硬件冷钱包更加复杂的功能,例如:多签冷钱包。

软件冷钱包的灵活性,也让其在资产的恢复方面也更加有优势。如果您的硬件钱包损坏,需要购买(同一厂商)的硬件,进行硬件恢复。而使用软件冷钱包,则没有这样的顾虑。

封闭和开放

软件冷钱包比硬件冷钱包更加开放。通过二维码传输数据的方式,可以在更广泛的范围内定义标准,实现不同软件冷钱包厂商之间的互联互通。而通过数据线或蓝牙传输的方式却无法实现这一点。

两种方案的钱包生态

目前市场上,虽然主要的冷钱包产品依然是以硬件冷钱包为主,但是它们正在受到软件冷钱包的冲击。

硬件冷钱包:

Ledger 是最知名的硬件冷钱包方案提供商;

Trezor 是另一个知名的硬件冷钱包提供商;

软件冷钱包:

Ownbit 是最早实现软件冷钱包方案的钱包,也是支持冷钱包币种最多的钱包之一;

Parity Signer 是 Parity 出品的以太坊软件冷钱包;

未来

事物发展的方向永远是化繁为简。越来越多的冷钱包正在以软件的方式实现。

就像大部分人不需要额外的硬件来进行阅读(电子书),因为手机本身也可以进行阅读。用更加常见的设备(手机)来替代专业的硬件是必然的趋势!因为它们在功能上类似,甚至更加优秀!

原标题:硬件冷钱包向左,软件冷钱包向右

标签:INSNSTOINCOIGasgainsCrypto Against CancerSmile CoinCrogeCoin

莱特币最新价格热门资讯
金色荐读 | Web3的三次革命

按:本文是根据谷歌产品设计师Tony Aubé在WAQ2019上演讲的文字版整理而成。文章阐述了Web3的三次演变逻辑,总结了Web3的三个根本特征,特别强调了Web3的大部分变化将发生在基础设施层面,对大多数人来说,这将是一个缓慢的.

1900/1/1 0:00:00
东方证券首席经济学家:央行数字货币是央行面对四大挑战的一种应对

货币就是指M0、M1、M2,其中M0是流通中的通货、纸币、硬币,M1是M0加上活期存款,M2的范围则更加广泛。数字货币究竟想替代M0、M1,还是要把M2全部替代掉,这是一个关键问题.

1900/1/1 0:00:00
区块链年终访谈:路过2020 预见2021

2020年,区块链与加密行业经历了过山车式的洗礼,既感受了“312”暴跌的惊险,又体验了一路突破2w美元大关的刺激,还有一波疫情下的行业创新不断展现——这一年有太多感慨、太多变化.

1900/1/1 0:00:00
金色观察丨要花10亿美元投资比特币的One River是谁?

金色财经 区块链12月17日讯? 总部位于美国康涅狄格州格林威治市的资产管理公司One River已成为比特币最大的投资者之一.

1900/1/1 0:00:00
金色前哨 | Bittrex将于北京时间1月16日7时下架XMR、ZEC及DASH相关市场

据官方公告,Bittrex将于北京时间1月16日7时下架XMR、ZEC及DASH相关市场。  1月2日,针对Bittrex将下架Dash一事,Dash钱包Dashpay的首席执行官RyanTaylor连发25条推特作出回应.

1900/1/1 0:00:00
短时暴跌超90% Cover Protocol遭攻击代币被增发已超万亿

12月28日,推特网友DeFi LATAM表示,由于奖励合同中的一个漏洞,CoverProtocol损失了200万美元.

1900/1/1 0:00:00