最近业内最受关注的安全方面的新闻恐怕就是Solana钱包Slope出现了安全漏洞。
据目前的信息,在这次事故中,有大概9000多个钱包受到牵连,这些钱包持有者大概被盗了超过400万美元的资产。
这次安全事故是怎么发生的呢?其最根本的原因还是在钱包对密钥的处理上出现了问题。
人们发现当用户使用Slope钱包的移动版产生地址时,地址对应的私钥被发送到了Slope的服务器Sentry上,并且是被明文直接发送到服务器的。
这种做法本身就存在两大致命问题:
Connected 2023: Web3社交黑客马拉松在DoraHacks.io正式启动:据官方消息,Connected 2023: A Web3 Social Hackathon项目申请入口已在开发者激励平台DoraHacks.io开启。本次活动由Web3社交图谱协议CyberConnect和BNB Chain联合举办,利用DoraHacks平台支持的自由组织黑客马拉松工具发起。活动赞助商来自Notifi、Lit、Livepeer和XMTP,总资助池超50,000美元,项目提交截止时间为3月10日。[2023/2/17 12:13:36]
第一,敏感信息的通信一般都需要经过加密后才能传输。
Web3策略游戏创作者平台Theia Studios完成240万美元融资:11月10日消息,据外媒报道,Web3策略游戏创作者平台Theia Studios宣布完成240万美元新一轮融资,Hashed、Snackclub、IVC、Mint Ventures、Taureon、Arcanum Capital、BigBrain Holdings、Lancer Capital、Ignite Group、Andover Ventures和Plum Ventures参投。
该公司旗下的Web3回合制策略游戏创作者平台为开发者提供了工具包,其中包括地图编辑器、资产管道、脚本框架、经济构建器等,帮助游戏创作者构建自己的策略游戏,其首款游戏“IconsofTheis”预计将在11月10日启动封闭Beta测试。(finsmes)[2022/11/10 12:42:37]
第二,照理说钱包的私钥应该只在用户手里,而不应该被传送到第三方设备上。
Coinbase前产品经理的兄弟对加密货币内幕交易指控认罪:金色财经报道,Coinbase前产品经理的兄弟Nikhil Wahi在美国地方法院的虚拟法庭听证会上承认,他根据Coinbase的机密信息进行交易。检察官说,Coinbase前产品经理Ishan Wahi将Coinbase计划让用户交易的新数字资产的机密信息,分享给他的兄弟以及他们的朋友Sameer Ramani。据称,Nikhil Wahi和Ramani随后使用以太坊区块链钱包获得这些资产,并在2021年6月和2022年4月Coinbase发布公告之前,至少进行了14次交易。
Nikhil Wahi告诉法官:“我知道接收Coinbase的机密信息并根据这些机密信息进行交易是错误的。”(路透社)[2022/9/13 13:24:56]
所以当Slope以这样的方式外泄用户的钱包密钥时就为后来的悲剧留下了致命的隐患。
而接下来便是Sentry服务器被黑客攻破,导致服务器上存储的所有这些用户的私钥被全部窃取。这样黑客便开始挨个盗取用户钱包中的资产。
在这场重大事故中,目前暂未发现硬件钱包受影响。
在这个事故中,我认为最根本的要害是钱包的私钥在产生时就被外泄了。
通常,还有一种更为普遍的钱包被盗的方式就是用户安装钱包的设备不安全,使得当该设备在联网时黑客能够通过互联网扫描设备上的信息,盗取钱包的私钥或者助记词,从而盗取钱包中的资产。
从这些场景中我们发现,无论采取什么方式,设备的联网是钱包助记词或者密钥被盗的一个必备条件。如果设备不联网,则黑客再有本事,也无法通过盗取私钥或者助记词盗取用户的资产。
而这一点恰恰就是硬件冷钱包保证资产安全的根本。
一个符合标准或者正规厂家生产的硬件冷钱包一定是隔离互联网的。
一般说来,硬件冷钱包产生钱包地址和密钥是在断网的情况下产生。这就保证黑客无法通过网络联网到设备直接盗取密钥。
另外当用户需要用硬件冷钱包发送资产到其它地址时,硬件冷钱包也是在断网的情况下用私钥对交易进行签名,然后再将签过名的信息传送到联网设备,由联网设备将交易进行广播并完成的。在这里,设备在使用私钥时也是在断网的情况下完成,这也保证了黑客无法通过网络窃取私钥。
纵观硬件冷钱包的使用过程,我们发现,但凡出现私钥或者使用私钥的场景都是在断网的情况下完成,所以这从根本上断绝了黑客盗取私钥的途径,从而保证了硬件冷钱包的安全。
因此,一般来说,我们可以仔细观察市面上较为知名的硬件冷钱包厂商。如果某个厂商出品较久,并且一直以来没有出现过安全事故,那么大概率这个厂商出品的硬件冷钱包就是比较安全和可靠的。
我们就可以比较放心地选择这个厂商的产品。
这次Slope安全事故对我们普通用户最大的教训恐怕还是我曾经反复提及的:那就是我们需要一个硬件冷钱包。我们需要将大部分平时不用来交易的资产存储到这个冷钱包里。
来源:金色财经
标签:coinbaseNBACOICOINCoinbase客服电话NBAI币DinastycoinBitcoin City Coin
1.金色观察|Bankless:合并后的以太坊会像一个流域在合并后的世界中,以太坊交易将通过一个非常具体和有序的流程进行。一个强大的交易供应链正在我们眼前构建,庞大的权力结构即将出现.
1900/1/1 0:00:00在比特币早期的1.0时代,人们获得比特币主要是通过矿机挖矿获得比特币或是直接从持币者手中购买比特币这两种方式。在比特币价格快速增长的情况下,收益也在不断的增加.
1900/1/1 0:00:00???2021年是数字藏品元年,数字藏品“出圈”至今,不断与各式各样的大热IP结合呈现。文物、门票、潮玩、盲盒、卡牌、艺术创作、摄影作品、表情包等都可以制作成数字藏品发布,真可谓是:万物皆可数字.
1900/1/1 0:00:00在上周“哇”的表现之后,Polkadot已经转向挖掘新的红色水平。回想一下,在上述时期,DOT是CoinMarketCap上表现最好的加密货币.
1900/1/1 0:00:00B9是全球领先的区块链技术服务商,成立于2021年,总部位于加拿大。作为技术服务赛道的领跑者,B9历经反复的打磨,目前已拥有数字资产交易系统、钱包等成熟的产品线,构建了技术服务-流量-商业化的产.
1900/1/1 0:00:00NFT并不是解决每个人财务问题的万能方案,但它们确实提供了独特的赚钱机会,你现在在其他地方根本找不到.
1900/1/1 0:00:00