每天价值超3000万的加密资产丢失,却鲜有人重视钱包安全
小黑的手微微颤抖,额头上冒出了一层细密的冷汗,头顶的日光灯照在他的脸上,显得分外惨白。
此时,他正盯着手机上的某交易平台 App ,一遍又一遍地尝试从里面提出资金,尝试了十几次,页面依然是报错信息。电报群和 QQ 群里已经乱成一团,凡是有人问赔偿退款的事,就被踢出。一想到上个月刚往交易平台存入的 30 万积蓄,小黑双腿发软,瘫坐在地上。
一切混乱始于今天上午在用户群里发布的一则公告:
XX 交易平台于 2019 年 5 月 28 日不幸遭遇黑客攻击,尽管我们进行了长达 3 个月的补救工作,但很遗憾最终未能改变现状。由于资不抵债,我们决定关闭交易平台。
全文 200 多字,对用户的安置与退款只字未提。群里已经炸开了,有用户说这是有组织有预谋的卷款跑路,也有用户则嚷嚷着要去维权。但小黑心里清楚,这钱基本上再也要不回来了,如果是蓄谋跑路,又怎么会留下任何可追查的线索呢?怕是早卷得一干二净了。
01
数字资产丢失和被盗,比想象中更严峻
类似这样的事件,只是当前区块链蛮荒时代的一个缩影。
自比特币诞生至今,行业内的数字资产丢失、被盗事件层出不穷。仅 2018 年,加密资产的被盗金额就高达 17 亿美元,这意味着每天有 460 多万美元的加密资产被盗,即每分钟 3234 美元。而这只是已经公开确认的损失金额,实际的数字资产被盗金额比 17 亿要大得多。
数字资产丢失事件的首要原因,来自黑客攻击。在 2018 年确认被盗的 17 亿美元资金中,黑客窃取的金额超过 9.5 亿美元,比 2017 年增长了 300%以上。其次是中心化平台监守自盗、卷款跑路导致的资金丢失。而前文提及的交易平台事件到底是因为黑客攻击,还是自身卷款跑路,已经难以求证。
根据区块链数据分析服务提供商 Coin Metrics 的最新报告,自第一枚比特币诞生至今,累计丢失的比特币近 170 万个。若按最新比特币价格约 7000 美元计算,170 万个比特币价值约 119 亿美元。此事也于近日登上微博热搜榜,一时引发热议。而最近国内监管收紧,许多违规经营的交易平台也纷纷关闭跑路,引得用户集体把数字资产提到了去中心化钱包。
11月21日, “上百亿美元比特币已永久丢失”登上微博热搜榜
虽然加密资产继续成为主流,但层出不穷的数字资产丢失事件表明,人们对于加密资产的安全意识并没有跟上行业的步伐,大多数用户甚至意识不到,轻易地将资金保存在中心化交易平台中是多么危险。
02
安全存储加密资产,你真的会了吗?
加密资产的安全存储,一言可蔽之:私钥要掌握在自己手上。
目前市面上的加密资产钱包有上千款,从私钥的掌管权来区分,大致可以分为 3 种:
很显然,从安全角度来看,硬件钱包>去中心化软件钱包>云钱包。但实际的用户喜好和钱包使用现状又如何呢?
近期,我们随机采访了身边 30 位持有加密资产的小伙伴,发现居然只有 1 位在用硬件钱包,其它人要么是存在交易平台,方便随时买卖,要么是下载了免费的 App 钱包用来存。
当被问到“为什么不用硬件钱包”时,大家给出的理由各不相同:
A:“硬件钱包太贵,现在市面上的钱包动不动就是 800 多,像国内比较有名的 XXX 牌硬件钱包,一台要 4000 多块,用不起。”
B:“硬件钱包太难用了,男朋友送了我一台 700 多块的钱包,我花了整整半个小时才完成初始化设置,累出一头汗。”
C:“对啊,而且像 XXX 这么出名的牌子,居然还不支持移动端,只能扛着个电脑来交易,特别麻烦。”
总体而言,硬件钱包虽然以其更高的安全系数受到核心持有加密资产用户的认可,但也因操作复杂、定价过高而受到普通用户的诟病,导致难以普及。诚如区块链的不可能三角一样,加密资产钱包也存在一个不可能三角:安全、易用、性价比。
目前行业中已经出现了不少尝试解决这些核心痛点的冷钱包品牌商,其中有一款低调的冷钱包品牌在去年获得了币安的战略投资,团队核心成员均来自华为、腾讯、三星的安全团队,号称要打造“小白都会用的安全、易用、高性价比的加密资产钱包”,它就是来自币安生态的 SafePal 安壁钱包。
SafePal 推出的第一代产品 S1 于今年 5 月份在美国、英国、加拿大、澳洲等地同步开售,很快引起了海外主流媒体和社区的关注和积极反响。SafePal 在上个月刚刚开通了微店和淘宝等国内购买渠道。
今天,就带大家看一看 SafePal 有什么过人之处,以及“挑选靠谱的硬件钱包”的正确姿势。
03
硬件钱包评估面面观
一、安全系数
“安全”是硬件钱包一直以来优于其它存储加密资产方式的核心因素,也是用户最为关心的维度。正确评估一台钱包的安全系数,可以从以下方面入手:
1、私钥的生成
私钥是一串随机生成的 256 位的二进制数字,私钥生成“是否足够随机”将直接影响到私钥的安全性。私钥可通过专门的随机数生成器生成,这种随机数生成器通常分为 2 种:真随机数生成器和伪随机数生成器。
我们日常生活中的手机、电脑内置的大多是伪随机数生成器,根据系统状态参数用算法进行随机数模拟。而只有硬件形态的真随机数生成器可以生成随机程度较高的私钥。
2、私钥的存储
私钥存在钱包的哪个位置,同样直接影响私钥的安全性。在硬件钱包上,私钥是否有独立、隔离的存储区域显得犹为重要。某著名钱包品牌将私钥存在通用 MCU 上,后来有黑客经此途径成功破解了该钱包并获取私钥,引发巨大争议。
3、签名的交互形态
由于硬件钱包的一大特性是不联网,如何将构造的交易传至私钥端进行签名、再将签名安全地广播到区块链上,是各个钱包品牌面临的共同难题。目前市面上的硬件钱包大多搭配了相应的软件进行使用,硬件负责保管私钥和交易签名,软件则负责交易广播,彼此之间通过特定方式进行通讯。
这个通讯方式直接决定了交易传输过程的安全性,也经常成为黑客攻击的关键一环。常见的通讯方式有:USB、蓝牙、WiFi、NFC、二维码。
由于 USB 需要在 PC 上操作,非常不便,而蓝牙、WiFi 又存在被截获和篡改的可能,NFC 通讯又存在大部分手机不兼容的问题,因此扫描二维码的安全系数相对是较高的,并且可以与所有手机完美兼容。
4、钱包是否有恢复机制
在钱包丢失时,钱包的助记词恢复机制能够让我们迅速在另一台钱包上恢复并尽快转移资产,避免可能的损失。因此,钱包是否支持备份与恢复在这种场景特别关键。
5、钱包是否能够应对多重攻击与破解
使用硬件钱包的一大优势,是其离线冷存储的特性可以隔绝大部分的远程网络攻击,例如病毒攻击。但是针对硬件钱包的近距离攻击仍然种类繁多,如侧信道攻击、射频攻击、暴力破解等。钱包本身是否能够有强健的机制应对黑客们五花八门、角度清奇的攻击,是挑选硬件钱包时需要重点考虑的维度。
以上标准中,前 3 条是评估硬件钱包在日常使用中是否足够安全,后 2 条则是对用户使用过程中可能遇到的极端情况进行拷问:钱包丢了怎么办?黑客如果要破解我的钱包怎么办?
那么,币安生态的 SafePal S1 在这些安全维度上的表现如何呢?经过产品试用和多方信息收集,下面梳理了 SafePal S1 一些重要特点:
1、 SafePal S1 内置真随机数生成器及金融级安全加密芯片,有效保证私钥随机性及安全性。
如前文所说,真随机数生成器的作用是保证私钥生成的随机性和唯一性。SafePal S1 采用双芯片架构,其中一枚芯片负责通用业务逻辑,而私钥存在另一枚符合 EAL5+ 金融级标准的安全加密芯片内,与运行环境彻底隔离。
2、采用冷热分离、二维码通讯的机制,杜绝因 USB 或射频通讯带来的潜在风险
SafePal S1 冷钱包需搭配 SafePal App 使用。以转账流程为例,App 负责构建交易,S1 负责交易签名。两者之间通过二维码互扫机制通讯,无蓝牙、无 NFC、无 WiFi 连接或 USB 连接。
3、支持 BIP39 和 BIP44 的标准助记词恢复备份机制
钱包一旦被盗,用户可通过助记词恢复钱包并转移资产。
4、内置多重传感器,一旦检测到恶意攻击,则启动私钥擦除机制,保护资产安全
SafePal S1 内置光线传感器、射频传感器、电压传感器等多重传感器,能够有效应对暴力破拆、射频攻击、电磁攻击等多种攻击场景。一旦检测到外部攻击,芯片将启动私钥擦除机制,杜绝私钥落入黑客之手。
二、用户体验
用户体验是一项主观的指标,与用户的个人喜好相关,围绕硬件钱包的日常使用场景,我们可列出以下参考维度:
1、加密资产种类支持
加密资产种类的支持数量如何、后续是否支持持续添加新的加密资产种类、添加的频率如何。
2、产品的易用程度
操作是否简便、是否符合本土用户的使用习惯、是否支持移动端、多语言支持情况。
3、产品支持与售后
售前售后服务是否完善、是否支持保修。
从用户体验的角度来看,SafePal 的确带来了不少惊喜!
1、现已支持 9 大公链和超过 2000 种 Token,平均每月新增 4-5 条公链,频率较高。且钱包可通过固件升级不断支持新增加密资产种类。
2、支持移动端让 SafePal S1 区别于很多其他品牌的硬件钱包。产品由来自腾讯、华为、三星的核心成员打造,产品体验较好。现已支持 10 种语言。
对于很多普通用户而言,在未看说明书、没有查资料的情况下,只要花 1 分 30 秒就可以完成钱包的全部创建流程,体验非常流畅,而且扫码交互的设计也非常符合国人的使用习惯。
3、微信、电报在线客服随时答疑,产品支持一年保修售后
三、性价比
市面上常见的硬件钱包,目前的在售价格区间在 700-4000,价格的确较高,也难怪有小伙伴说“被割的韭菜没有资格用冷钱包…”。
相较之下,SafePal S1 的国内零售价是 299 元,的确是相当亲民。
更低的价格并不一定意味着我们的安全性或品质更差。在硬件行业,以小米为代表的高性价比产品印证了“始终将产品品质与价格关联到一起”的想法是一种刻板偏见。
作为区块链技术的坚定信奉者,我们竭力构建更安全、透明、可用的产品,使更多人能够触及区块链并享受它带来的变革与便利。
而合理亲民的产品定价是推动行业渗透率的关键因素之一,从长远来看这将促使区块链技术得到更广泛的应用。这也是币安选择邀请我们成为币安生态首个硬件钱包品牌的原因之一。
其实,有很多定价昂贵的产品其最终利润都流向了销售渠道、品牌包装、广告投放等渠道,其实际的价值并不一定与产品定价相称,相信 SafePal 的初心与定位能获得不少用户的认同。
四、其它附加项
除了以上核心要素以外,挑选合适的硬件钱包还有其它的评估附加项,如品牌背书、团队背景、社区评价等。
SafePal 系币安投资的第一个硬件钱包品牌,币安大品牌背书,更让人放心。创始团队背景来自腾讯、华为、三星的安全与产品团队,专业水准相对可靠。
在油管上能找到不少 SafePal 的评测视频,官网不少 5 星评价,且该品牌在推特上也非常活跃,看得出来与许多核心社区有着频繁的互动。
总体而言,SafePal S1 在安全性、易用性、性价比等方面做到了相当出色的平衡与考究,可以看出在产品上也有不少细节的注意和考量,对硬件钱包感兴趣的小伙伴可以关注哦!
五、除了挑对硬件钱包,你还需要注意什么?
区块链去中心化的属性赋予了每个人自主管理资产的自由,加密资产可以不再受任何第三方代管或约束,而是能够完全由自己掌控。
但凡事皆有两面性,在这种背景下,如果用户本身不具备良好的资产管理素养和技能,买了再好再贵的硬件钱包也是白搭。
在这里,还想再给大家几条关于资产安全方面的干货,与硬件钱包搭配使用,效果极佳:
除了选择可靠的钱包品牌,还需要注意保护助记词的安全。一旦助记词被盗,你的加密资产就分分钟再也回不来了。硬件钱包无法完全杜绝这种情况的发生。
不要将助记词以截图、记忆、打印、拍照等形式保存,尽量手写至纸质或刻至金属介质上,以便长期离线保存。
尽量避免向他人透露自己的加密资产情况,说者无心听者有意,很多数字资产丢失事件都是身边人下手的。不怕贼偷,就怕贼惦记!
留言挖矿 第384期:你身边有人在用硬件钱包吗?用的是哪一款钱包呢?你觉得硬件钱包对你而言最重要的特性是什么?欢迎在留言区分享你的观点。
上一篇:为何众多巨头的区块链大多不用主流的PoW、PoS而钟情于它?
▎推荐阅读
——End——
『声明:本文为作者独立观点,不代表白话区块链立场,亦不构成任何投资意见或建议,文章版权和最终解释权归白话区块链所有。』
亲,据说99.9%有品位的人都点了「好看」👇