最近業內最受關注的安全方面的新聞恐怕就是Solana錢包Slope出現了安全漏洞。
據目前的信息,在這次事故中,有大概9000多個錢包受到牽連,這些錢包持有者大概被盜了超過400萬美元的資產。
這次安全事故是怎么發生的呢?其最根本的原因還是在錢包對密鑰的處理上出現了問題。
人們發現當用戶使用Slope錢包的移動版產生地址時,地址對應的私鑰被發送到了Slope的服務器Sentry上,並且是被明文直接發送到服務器的。
這種做法本身就存在兩大致命問題:
第一,敏感信息的通信一般都需要經過加密後才能傳輸。
第二,照理說錢包的私鑰應該只在用戶手裏,而不應該被傳送到第三方設備上。
所以當Slope以這樣的方式外泄用戶的錢包密鑰時就爲後來的悲劇留下了致命的隱患。
而接下來便是Sentry服務器被黑客攻破,導致服務器上存儲的所有這些用戶的私鑰被全部竊取。這樣黑客便开始挨個盜取用戶錢包中的資產。
在這場重大事故中,目前暫未發現硬件錢包受影響。
在這個事故中,我認爲最根本的要害是錢包的私鑰在產生時就被外泄了。
通常,還有一種更爲普遍的錢包被盜的方式就是用戶安裝錢包的設備不安全(比如中了木馬或者類似的病毒),使得當該設備在聯網時黑客能夠通過互聯網掃描設備上的信息,盜取錢包的私鑰或者助記詞,從而盜取錢包中的資產。
從這些場景中我們發現,無論採取什么方式,設備的聯網是錢包助記詞或者密鑰被盜的一個必備條件。如果設備不聯網,則黑客再有本事,也無法通過盜取私鑰或者助記詞盜取用戶的資產。
而這一點恰恰就是硬件冷錢包保證資產安全的根本。
一個符合標准或者正規廠家生產的硬件冷錢包一定是隔離互聯網的。
一般說來,硬件冷錢包產生錢包地址和密鑰是在斷網的情況下產生。這就保證黑客無法通過網絡聯網到設備直接盜取密鑰。
另外當用戶需要用硬件冷錢包發送資產到其它地址時,硬件冷錢包也是在斷網的情況下用私鑰對交易進行籤名,然後再將籤過名的信息傳送到聯網設備,由聯網設備將交易進行廣播並完成的。在這裏,設備在使用私鑰時也是在斷網的情況下完成,這也保證了黑客無法通過網絡竊取私鑰。
縱觀硬件冷錢包的使用過程,我們發現,但凡出現私鑰或者使用私鑰的場景都是在斷網的情況下完成,所以這從根本上斷絕了黑客盜取私鑰的途徑,從而保證了硬件冷錢包的安全。
因此,一般來說,我們可以仔細觀察市面上較爲知名的硬件冷錢包廠商。如果某個廠商出品較久,並且一直以來沒有出現過安全事故,那么大概率這個廠商出品的硬件冷錢包就是比較安全和可靠的。
我們就可以比較放心地選擇這個廠商的產品。
這次Slope安全事故對我們普通用戶最大的教訓恐怕還是我曾經反復提及的:那就是我們需要一個硬件冷錢包。我們需要將大部分平時不用來交易的資產存儲到這個冷錢包裏。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:怎么保護我們的加密資產?
地址:https://www.torrentbusiness.com/article/10867.html
標籤: