- 钱包安全操作不规范,倾家荡产只需5分钟 : 资深从业者的建议一定要听
- 来源:白话区块链
白话区块链
从入门到精通,看我就够了!
01
Trezor 和 Dash 钱包有何安全问题?比特派:首先,Trezor 没出安全问题,My Dash Wallet 是出了安全问题,这不是一回事。先说下 My Dash Wallet ,我们从 2014 年开始就建议用户尽量不要使用网页钱包,因为网页钱包的安全天花板最低,浏览器插件、恶意代码注入、钓鱼链接等等对于网页钱包都是致命的,当然还包括不安全的随机数环境。My Dash Wallet 只不过是又给网页钱包糟糕的安全记录和丢币历史里增加新的一个案例而已。而 Trezor 的事情是另一回事,在过去一段时间 Ledger 一直用一个所谓的 Ledger 安全实验室的名义来发布文章攻击 Trezor 的安全性,但其实对于 Ledger 的攻击,Trezor 早在几个月前就已经做过正面并且清楚的回复了,前几天再次传播的报道其实仍然是几个月前的内容,并没什么新鲜的。对于硬件钱包来说,100% 做到绝对防范物理攻击是不可能的,大家只能努力增加物理攻击的难度罢了。硬件钱包的真正目的是要做到冷钱包,预防一个远在天涯海角的黑客通过互联网把你的币转走。如果您希望连物理攻击都能防御,使用密码账户就好了,这样即便是攻击者抢走了你的硬件钱包,没有密码也没有用。
02
钱包使用如何降低门槛?比特派:说到钱包的门槛,助记词是绕不过去的,无论如何用户都需要自行保管助记词,想绕开这一门槛的用户就把币留在交易平台,尽量留在较大的交易平台里,风险会小一些。区块链历史上交易平台跑路的案例太多了,所以请自行评估相关风险。当前的主流钱包已经在尽可能地降低用户的门槛了,如果真能保管好12个助记词,后续的钱包操作其实就已经很小白化了。imToken:数字钱包的使用门槛主要还是在私钥备份及存储这一层面,其实包括以太坊社区,很多技术开发者都在关注这一问题。像多签钱包,EOS 的多账户+私钥权重,主账户+子账户等,都是在对如何更安全的使用私钥进行探索,让私钥管理的容错性更高一些。但目前私钥依然存在,并且需要直接暴露给用户,由用户进行最终的存储和管理。所以这个门槛没有实质性的降低。我们认为钱包的终极形态即是人链交互系统,将人与区块链无缝的进行融合。 03
如何安排钱包和交易平台的存放比例?imToken:安全策略是因人而异和灵活的。对于大多数用户而言,需要频繁操作的资产可以放在交易平台。如果想长期持有某些Token,还是建议购买一款硬件钱包。比特派:50% 以上、不用来交易或很少使用的 Token,应该存在冷钱包里; 20% - 30% 日常使用的 Token 可以放在热钱包;20% - 30% 甚至更多需要用来交易的 Token 存在交易平台里。
04
挑选钱包时需要考虑哪些因素?imToken:现在的数字钱包如雨后春笋一般,品质也参差不齐,近两年市场上更是出现了一大批资金盘钱包和 CX 钱包,像 PlusToken 、MGC 等。我认为用户在选择钱包时候应该注意以下几点:首先,选择品牌影响力和口碑俱佳的钱包。用户选择使用第三方提供的钱包,最重要的就是信任这个工具,用户可以在选择钱包之前进行一些调研,选择用户量多,市场存在时间长,没有发生过安全问题的钱包。其次,选择可以离线生成并管理私钥的钱包,即可以作为冷钱包使用的钱包。我觉得这点比钱包开源还要重要,因为钱包开源也会存在一些问题,比如真正的产品发布所使用的代码是不是和开源代码完全一致,有没有将用户的私钥上传到自己的服务器等等。如果用户将手机网络关闭,依然能够生成钱包,那么可以证明该钱包不是通过钱包商服务器生成的。同时,用户也可以通过手机代理的方式来查看网络请求,看看是否有传输密钥的情况。最后,用户可以关注一下开源钱包。对于开源这件事,大家要客观看待,因为开源≠安全。开源和安全应该是一个相互促进的关系,代码开源后,可以得到更多优秀开发者的关注,自然能够提高安全等级。
操作钱包时有哪些注意事项?imToken:我之前有提出一个「钱包安全 10 不原则」基本上很好的覆盖了用户在使用钱包时需要注意的事项:1.不使用未备份的钱包
2.不使用邮件传输或存储私钥
3.不使用微信收藏或云备份存储私钥
4.不要截屏或拍照保存私钥
5.不使用微信、QQ 传输私钥
6.不要将私钥告诉身边的人
7.不要将私钥发送到群里
8.不使用第三方提供的未知来源钱包应用
9.不使用他人提供的 Apple ID
10.不要将私钥导入未知的第三方网站用户资产被盗的事件起因五花八门,有使用不安全钱包导致资产丢失的,当然更多的是因为自身管理储存私钥不当。比较常见的被盗情况就是“监守自盗”这种类型,比如和身边的朋友、合伙人共同管理一把私钥,或者不小心将私钥泄露给身边的人,因为区块链具有匿名性,所以很容易出现这种情况。用户要时刻意识到,私钥要自己保管,不要告诉任何人,也不要通过任何即时通讯软件传播。 比特派:助记词的保管是最重要的,因为不恰当地保管助记词所导致的丢币和币被盗实在是太多了。
06
如何挑选硬件钱包?比特派:挑选硬件钱包有几大要素:1.开源;2.有屏幕;3.能一直保持良好迭代的钱包团队;4.架构合理,价格也合理。imToken:硬件钱包的普及率还是比较低的,绝大多数用户对硬件钱包不甚了解。但我建议,大额资产还是使用硬件钱包进行存储。在建议用户选择硬件钱包这方面,一定要选择有较高等级安全芯片的硬件钱包。因为市面上有些硬件钱包依然是建立在安卓系统上的,即便是采用开源代码,也会存在较大的安全隐患,因为硬件钱包是软件和硬件的结合,软件层面没问题,不代表硬件层面不会出现问题。关于开源的问题,我上边也谈到了开源≠安全,有个蛮有趣的问题可以思考一下:是闭源的苹果系统安全,还是开源的安卓系统安全?我认为,一些场景下闭源反而会增大黑客攻击的难度。 07
如何识别诈骗钱包?imToken:超高收益和拉人头等具有明显 CX 和资金盘行为的项目,都需要引起用户注意。其实,用户不是无法辨别什么是资金盘钱包,而是被高利益吸引,失去了理智。imToken 之前在曝光 MGC 钱包的时候,有很多用户和我们说:我知道 MGC 是骗子项目,但是只要让更多人上当受骗,我就可以赚钱,你们这样曝光,就没有人上当了,我就要亏钱了。所以,这不是如何帮助用户识别骗局的问题,而是人性的问题。庞氏骗局存在整整100 年了,依然屡试不爽。还是希望用户能够理智一些,天上是不会掉馅饼的。比特派:高利息的肯定是诈骗。钱包是用户自己保管私钥,私钥本身又没有高利息,如果公链有着 Staking 模型那当然是另一回事。所以,诈骗肯定是一眼就能看出来的。 08
PoS 区块链节点是否会成为钱包发展方向?比特派:新公链一般都是 PoS 模型,也就会有 Staking 的收益和相关机制,而新公链在设计这块的时候,都会做成是钱包(而不是交易平台)的场景。我们已经开始为用户提供 Staking 服务了,这块的布局对我们来说是很自然的一件事情,未来主要的 Sktaing 公链我们都会提供一键 Staking 的服务,让用户更方便地使用相关功能。
让“听得见炮火的士兵”做决定:你也许低估了币安,以及DEX
加密货币版《权力的游戏》Facebook发布的稳定币,会让数字货币应用从1.0 升级到 2.0?
——End——
『声明:本文为受访者的观点,不代表白话区块链立场,亦不构成任何投资意见或建议。』
![]()
白话区块链
扫一扫下载订阅号助手,用手机发文章
赞赏
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
已同步到看一看
取消
发送
我知道了
朋友会在“发现-看一看”看到你“在看”的内容
确定
已同步到看一看写下你的想法
最多200字,当前共字
发送
已发送
朋友将在看一看看到
确定
写下你的想法...
取消
发布到看一看
确定
最多200字,当前共字
发送中
![]()
微信扫一扫
使用小程序
取消
允许
即将打开一个新页面
取消
允许
从入门到精通,看我就够了!
01
Trezor 和 Dash 钱包有何安全问题?比特派:首先,Trezor 没出安全问题,My Dash Wallet 是出了安全问题,这不是一回事。先说下 My Dash Wallet ,我们从 2014 年开始就建议用户尽量不要使用网页钱包,因为网页钱包的安全天花板最低,浏览器插件、恶意代码注入、钓鱼链接等等对于网页钱包都是致命的,当然还包括不安全的随机数环境。My Dash Wallet 只不过是又给网页钱包糟糕的安全记录和丢币历史里增加新的一个案例而已。而 Trezor 的事情是另一回事,在过去一段时间 Ledger 一直用一个所谓的 Ledger 安全实验室的名义来发布文章攻击 Trezor 的安全性,但其实对于 Ledger 的攻击,Trezor 早在几个月前就已经做过正面并且清楚的回复了,前几天再次传播的报道其实仍然是几个月前的内容,并没什么新鲜的。对于硬件钱包来说,100% 做到绝对防范物理攻击是不可能的,大家只能努力增加物理攻击的难度罢了。硬件钱包的真正目的是要做到冷钱包,预防一个远在天涯海角的黑客通过互联网把你的币转走。如果您希望连物理攻击都能防御,使用密码账户就好了,这样即便是攻击者抢走了你的硬件钱包,没有密码也没有用。
02
钱包使用如何降低门槛?比特派:说到钱包的门槛,助记词是绕不过去的,无论如何用户都需要自行保管助记词,想绕开这一门槛的用户就把币留在交易平台,尽量留在较大的交易平台里,风险会小一些。区块链历史上交易平台跑路的案例太多了,所以请自行评估相关风险。当前的主流钱包已经在尽可能地降低用户的门槛了,如果真能保管好12个助记词,后续的钱包操作其实就已经很小白化了。imToken:数字钱包的使用门槛主要还是在私钥备份及存储这一层面,其实包括以太坊社区,很多技术开发者都在关注这一问题。像多签钱包,EOS 的多账户+私钥权重,主账户+子账户等,都是在对如何更安全的使用私钥进行探索,让私钥管理的容错性更高一些。但目前私钥依然存在,并且需要直接暴露给用户,由用户进行最终的存储和管理。所以这个门槛没有实质性的降低。我们认为钱包的终极形态即是人链交互系统,将人与区块链无缝的进行融合。 03
如何安排钱包和交易平台的存放比例?imToken:安全策略是因人而异和灵活的。对于大多数用户而言,需要频繁操作的资产可以放在交易平台。如果想长期持有某些Token,还是建议购买一款硬件钱包。比特派:50% 以上、不用来交易或很少使用的 Token,应该存在冷钱包里; 20% - 30% 日常使用的 Token 可以放在热钱包;20% - 30% 甚至更多需要用来交易的 Token 存在交易平台里。
04
挑选钱包时需要考虑哪些因素?imToken:现在的数字钱包如雨后春笋一般,品质也参差不齐,近两年市场上更是出现了一大批资金盘钱包和 CX 钱包,像 PlusToken 、MGC 等。我认为用户在选择钱包时候应该注意以下几点:首先,选择品牌影响力和口碑俱佳的钱包。用户选择使用第三方提供的钱包,最重要的就是信任这个工具,用户可以在选择钱包之前进行一些调研,选择用户量多,市场存在时间长,没有发生过安全问题的钱包。其次,选择可以离线生成并管理私钥的钱包,即可以作为冷钱包使用的钱包。我觉得这点比钱包开源还要重要,因为钱包开源也会存在一些问题,比如真正的产品发布所使用的代码是不是和开源代码完全一致,有没有将用户的私钥上传到自己的服务器等等。如果用户将手机网络关闭,依然能够生成钱包,那么可以证明该钱包不是通过钱包商服务器生成的。同时,用户也可以通过手机代理的方式来查看网络请求,看看是否有传输密钥的情况。最后,用户可以关注一下开源钱包。对于开源这件事,大家要客观看待,因为开源≠安全。开源和安全应该是一个相互促进的关系,代码开源后,可以得到更多优秀开发者的关注,自然能够提高安全等级。
操作钱包时有哪些注意事项?imToken:我之前有提出一个「钱包安全 10 不原则」基本上很好的覆盖了用户在使用钱包时需要注意的事项:1.不使用未备份的钱包
2.不使用邮件传输或存储私钥
3.不使用微信收藏或云备份存储私钥
4.不要截屏或拍照保存私钥
5.不使用微信、QQ 传输私钥
6.不要将私钥告诉身边的人
7.不要将私钥发送到群里
8.不使用第三方提供的未知来源钱包应用
9.不使用他人提供的 Apple ID
10.不要将私钥导入未知的第三方网站用户资产被盗的事件起因五花八门,有使用不安全钱包导致资产丢失的,当然更多的是因为自身管理储存私钥不当。比较常见的被盗情况就是“监守自盗”这种类型,比如和身边的朋友、合伙人共同管理一把私钥,或者不小心将私钥泄露给身边的人,因为区块链具有匿名性,所以很容易出现这种情况。用户要时刻意识到,私钥要自己保管,不要告诉任何人,也不要通过任何即时通讯软件传播。 比特派:助记词的保管是最重要的,因为不恰当地保管助记词所导致的丢币和币被盗实在是太多了。
06
如何挑选硬件钱包?比特派:挑选硬件钱包有几大要素:1.开源;2.有屏幕;3.能一直保持良好迭代的钱包团队;4.架构合理,价格也合理。imToken:硬件钱包的普及率还是比较低的,绝大多数用户对硬件钱包不甚了解。但我建议,大额资产还是使用硬件钱包进行存储。在建议用户选择硬件钱包这方面,一定要选择有较高等级安全芯片的硬件钱包。因为市面上有些硬件钱包依然是建立在安卓系统上的,即便是采用开源代码,也会存在较大的安全隐患,因为硬件钱包是软件和硬件的结合,软件层面没问题,不代表硬件层面不会出现问题。关于开源的问题,我上边也谈到了开源≠安全,有个蛮有趣的问题可以思考一下:是闭源的苹果系统安全,还是开源的安卓系统安全?我认为,一些场景下闭源反而会增大黑客攻击的难度。 07
如何识别诈骗钱包?imToken:超高收益和拉人头等具有明显 CX 和资金盘行为的项目,都需要引起用户注意。其实,用户不是无法辨别什么是资金盘钱包,而是被高利益吸引,失去了理智。imToken 之前在曝光 MGC 钱包的时候,有很多用户和我们说:我知道 MGC 是骗子项目,但是只要让更多人上当受骗,我就可以赚钱,你们这样曝光,就没有人上当了,我就要亏钱了。所以,这不是如何帮助用户识别骗局的问题,而是人性的问题。庞氏骗局存在整整100 年了,依然屡试不爽。还是希望用户能够理智一些,天上是不会掉馅饼的。比特派:高利息的肯定是诈骗。钱包是用户自己保管私钥,私钥本身又没有高利息,如果公链有着 Staking 模型那当然是另一回事。所以,诈骗肯定是一眼就能看出来的。 08
PoS 区块链节点是否会成为钱包发展方向?比特派:新公链一般都是 PoS 模型,也就会有 Staking 的收益和相关机制,而新公链在设计这块的时候,都会做成是钱包(而不是交易平台)的场景。我们已经开始为用户提供 Staking 服务了,这块的布局对我们来说是很自然的一件事情,未来主要的 Sktaing 公链我们都会提供一键 Staking 的服务,让用户更方便地使用相关功能。
让“听得见炮火的士兵”做决定:你也许低估了币安,以及DEX
加密货币版《权力的游戏》Facebook发布的稳定币,会让数字货币应用从1.0 升级到 2.0?
——End——
『声明:本文为受访者的观点,不代表白话区块链立场,亦不构成任何投资意见或建议。』
白话区块链
扫一扫下载订阅号助手,用手机发文章
赞赏
长按二维码向我转账
受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。
已同步到看一看
取消
发送
我知道了
朋友会在“发现-看一看”看到你“在看”的内容
确定
已同步到看一看写下你的想法
最多200字,当前共字
发送
已发送
朋友将在看一看看到
确定
写下你的想法...
取消
发布到看一看
确定
最多200字,当前共字
发送中
微信扫一扫
使用小程序
取消
允许
即将打开一个新页面
取消
允许
-
-
- 快手内测10分钟长视频;微信可同时设置5个浮窗 | 产品猎人一周回顾
- 关注产品猎人(ID:qqchanpin),获取更多产品干货。 在产品资讯上,你或许需要一种新的形式。 我们用漫画形式,将易被忽略的内容记录了下来。 本周,互联网厂商们依然热闹非凡: 谷歌承认通
- 区块链探长
-
-
-
- Libra硬刚微信、支付宝? 你也试试!
- 作者 | Second State 责编 | 乔治 出品 | 区块链大本营(blockchain_camp) 本月17日,当 Marcus 被问到 Libra 未来是否会成为支付宝、微信的竞争对手时
- 区块链大本营
-
-
-
- 全球区块链早讯(7.19)
- 每日行情快讯:BTC于10500美元附近宽幅震荡 LTC领涨主流币 BTC于10500美元附近宽幅震荡, OKEx最高报10711美元。OKEx现报10605美元,24h涨幅9.75%。主流数字货币普
- 全球区块链早讯
-
-
-
- 数年前对区块链影响深远的大事件,现在却鲜有人提及
- 2019 年,许多虚拟货币的爱好者仍然在争论国家干预虚拟货币是好事还是坏事。这是一个很有分歧的话题,尤其是当我们考虑到——比特币发展背后的源动力是个体对自由的追求! 很多国家在 2017 年后仍在关注
- 白话区块链
-
-
-
- 比原项目周报(2019.07.19更新)
- 点击蓝字关注 比原链公众号 技术开发进展 Vapor: 1. Vapor测试网络测试; 2. 修复共识过程中存在的bug; 3. vapor 网络功能测试,修复测试过程中出现的消息传输错误
- 比原链Bytom
-
-
-
- 关于以太坊2.0,你不知道的9件事
- 点击上方“Unitimes” 可以订阅哦! 作者 | Bruno Škvorc 编译 | Jhonny 是的,这是一篇清单体文章 😱 以下是一些你可能不知道的关于以太坊2.0的事情,排序不分先后
- Unitimes
-
-
-
- 比原链Bystack首创的“一主多侧”架构,能解决区块链行业的哪些痛点?
- 点击蓝字关注 比原链公众号 区块链的去中心化、不可篡改等技术特性,改变了信任关系,降低了交易成本。区块链技术被认为是——继蒸汽机、电力、互联网之后,最具潜力触发新一轮革命浪潮的核心技术。在未来
- 比原链Bytom
-
-
-
- 7-18|币安未来三个月计划上线5个IEO、PVT在火币FastTrack第三期投票中获胜
- 今天的主要内容有Facebook Libra项目进行第二场听证会;古灵币 Grin 成功完成主网第一次硬分叉升级;赵东:Renrenbit在今年6月完成300万美元A轮融资,Bitfinex领投;币安
- 币圈情报社
-
-
-
- 世界经济论坛报告:评估区块链效益的6种方法
- 点击上方“蓝色字”可关注我们! 暴走时评:世界经济论坛(WEF)在7月16日发布了评估区块链应用效益的指南。该文件深入探讨了如何应用区块链技术,并为企业提供了六条建议。首先企业需要花时间了
- 区块链铅笔Blockchain
-
-
-
- 用50年前NASA送阿波罗上天的计算机挖矿什么体验? 出一个块要10^18年……
- 来源 | Ken Shirriff 编译 | Guoxi 出品 | 区块链大本营(blockchain_camp) 比特币挖矿到底有多难呢?一个外国极客用曾送宇宙飞船上天的 NASA 老古董做了
- 区块链大本营
-
-
-
- 区块链对保险行业的改造
- 保险业务的复杂性在于风险评估的过程不可避免地涉及到多方协调和大量记录的核对。这也让区块链技术在保险领域有用武之地。 菜鸟区块链 文|马库斯 区块链组件在保险市场的价值将以84.9%的复合年增长
- 菜鸟区块链
-
-
-
- 经济学家眼中的数字货币:与时俱进(监管篇)
- 文:蔡凯龙 来源:凯评金科 面对数字货币的全新挑战,经济学家分两类,一类嗤之以鼻,认为数字货币属于投机泡沫不值一提;另一类则谨慎接受,开始前沿的探索性研究。随着数字货币的发展壮大,越来越多的经济学家加
- 陀螺财经
-
-
-
- 钱包安全操作不规范,倾家荡产只需5分钟 : 资深从业者的建议一定要听
- 白话区块链 从入门到精通,看我就够了! 最近,关于加密货币钱包的安全事件不断出现在媒体上: 7 月 10 日,硬件钱包 Trezor 被曝仅用 5 分钟即可提取出密钥种子,且漏洞无法通过补丁修复。7
- 白话区块链
-