今天,知名加密货币钱包Copay爆出严重安全漏洞。Cobo首席安全负责人Darker表示,这种攻击方式很隐蔽,防范很难,他呼吁区块链开发者提高安全意识。
再次跌破4000美元的比特币或许还能靠着信仰支撑一段时间,毕竟投资者持有的数字货币数量没有变,变的只是价值。可是一但没有了私钥,那所有的希望就打了水漂。
在区块链行业,比特币价格在近三年内暴涨百倍,转眼间,全世界多了不少千万富翁、甚至亿万富翁,同时也出现了不少的“坐在黄金堆上的乞丐”,为什么?就是因为没有了私钥!一名英国工程师在2013年入手了比特币,由于丢失了储存钱包私钥的硬盘,急得要去垃圾掩埋场里把硬盘给挖出来;还有投资者把私钥写在纸上,结果被清洁工丢掉,从此钱包里的7个比特币(现价值46600美元)再也和他没有任何关系…
私钥如此重要,底应该如何保存私钥呢?
安全保存私钥的三种方法
一、备用Keyfile或JSON档:
在以太坊官方钱包中,私钥与公钥将会以加密的方式保存为一份 JSON 文件,JSON(JavaScript Object Notation)文件是一种包含轻量数据的档案格式,有时候浏览器会给你一个包含你私钥的备用JSON档案。这类的档案行事必须要导入成一个辅助钱包,才能获取你钱包资产的使用权,这些档案必须要被用高度安全的方式保存,而且使用者可以隐藏或加密这些档案,才能防止入侵者获取这些档案,一但这些备用档案流出,侵入者就拥有获取你钱包资产的权限。
二、掌握自己的助记词:
一般情况下,注册钱包的时候会有助记词,这个一定要记下来;如果你忘了你的私钥,你的助记词可以帮助你找回私钥,助记词通常是由一段12个随机单词组成的,换句话说助记词就是另一种形式的私钥。
三、用数字货币钱包:
假如私钥丢失还是有几率找回。当用户因遗失钱包或者存储设备突然损坏引起的私钥丢失,可以通过低权限的备用私钥(自己保存或者托管给信任的机构/人)找回自己的数字货币,找回指令并不会立刻转移数字资产,而是会在预告一段时间后生效,所以若备用私钥被冒用,用户也可及时发现,并用原私钥将数字资产转移到安全钱包,避免损失。
用数字货币钱包用户达2888万
伴随着以比特币为首的数字货币热潮,数字货币行业发展迅速。今年年初,全球加密货币市值距离万亿美元仅有一步之遥。
随着数字货币投资者的逐渐增多,基于资产安全方面的考虑,数字货币钱包的发展也迎来鼎盛期。
在虚拟货币世界中,数字钱包是储存和管理私钥的工具,同时也具有其他扩展功能,包括数字资产余额查询、发送交易等。数字钱包作为加密货币行业的配套基础设施,具有不可或缺性,因此极为重要。
钱包普及率仍旧不足
没有加密货币钱包的币圈投资者并不占少数。
相关数据统计显示,目前全世界炒币的人数已经超过了5000万。联系到很多大额持币的投资者不仅仅有一个加密货币钱包,保守估计,目前仍旧有将近一半的数字货币投资者没有自己的加密货币钱包。
在一部分投资额度比较小的散户眼里,什么冷热钱包、私钥公钥,币放到交易所就好,涨了就卖出去。
另一方面,不菲的提币费,也是一部分投资者不愿意创建数字货币钱包的原因。记者统计了火币、币安、OKEx三家主流交易所的提币费用(如下图)。熊市之下,拿以太坊为例,百分之一左右的提币费,并不是一个小数目。
钱包的安全问题也不容忽视
虽说私钥丢失可以归结到使用者的个人原因,但是使用了用数字货币钱包就一定安全了吗?
此前,互联网安全领域的巨头卡巴斯基实验室( Kaspersky Lab)对数字货币钱包的安全问题提出过警示。卡巴斯基安全报告指出,犯罪分子在过去一年中通过各种手段窃取了超过900万美元的以太坊(ETH)。
除了加密货币钱包本身开发方面的安全漏洞问题,使用终端的安全因素也是钱包被盗的重要原因之一。
谷歌的安卓和苹果的IOS两大操作系统为目前主流的移动终端系统。由于开源,谷歌的安卓系统更容易被病毒侵袭。
本月初,区块链安全研究中心BSRC公布了一段针对Bitpie钱包安卓版v3.6.6的攻击视频。该视频显示,攻击者可以通过USB连接用户手机直接获得用户的助记词种子,并在本地破解后获得用户的十二个助记词明文,从而进入用户的比特派账户。
不开源的苹果就一定安全吗?其实不然。近期,有客户反映,iPhone用户可能会遇到“钱包APP证书失效,必须卸载并重新下载才能打开APP”的提示,这将导致APP中的私钥需要重新导入。
如果用户先前并未导出、备份私钥,则会面临私钥丢失、账户遗失的情况。
资本逐利的战场,从矿机矿场到短期还不能盈利的钱包,无所不包无处不在。今天,你的钱包还好吗?
(本文转载自同名公号「春哥有毒」,如有侵权私信删除,谢谢。)