冷錢包,又稱硬件錢包。
相當於把私鑰存在一個芯片上,不聯網,被視為“絕對安全”的存儲幣的方式。
這裡一度成為區塊鏈世界的最後一片安全淨土。
而最近,幾乎所有的硬件錢包,都被破解。
黑客只需要接觸手機兩分鐘,不管你是否屏蔽,就可以輕易轉走所有的幣。
隨著錢包熱興起,很多新廠商加入這一戰場,但它們對安全的理解往往不到位。這大大增加了安全隱患。
冷錢包還值得信賴嗎?
區塊鏈的世界,到底是否存在絕對的安全?
01不安全的錢包
據大數據安全公司知道創宇先進技術部總監胡銘德介紹,他所在的團隊,就通過技術手段,當眾破解了兩個國內外知名的硬件錢包。
第一個,是在今年年初獲得8000萬美金融資的法國Ledger錢包。
“Ledger錢包在設計上有一個安全芯片和一個非安全芯片,我們通過強制升級非安全芯片的方式,在不拆除外殼的前提下,就能一步步取得錢包的PIN碼。”胡銘德說。
除了Ledger,知道創宇團隊還發現,其實大部分基於手機平臺(MTK)的比特幣錢包,都可以被破解。
“幾乎所有手機上的錢包,都能破解。”胡銘德稱,不管是手機APP的軟錢包,還是硬錢包。
比如,他們在對國內多款MTK錢包進行測試時發現,通過導出錢包固件,不僅可以看到多個幣種的緩存信息,還可以找到生成助記詞的各種庫。
黑客通過USB漏洞破解硬錢包。這個漏洞,極其嚴重。
在他看來,這才是最危險的——包括小米、魅族在內的大部分國產手機品牌的中低檔機,“都用的是MTK芯片方案”。
這就意味著,絕大多數硬錢包和軟錢包,都不安全。
02 冷錢包
錢包可分為兩類,一類是軟件錢包,一類是硬件錢包,即冷錢包。
軟件錢包大家好理解,即手機下載的錢包APP,可直接使用。
但硬件錢包是什麼?
比特幣是存在區塊鏈上的,而私鑰,是你擁有和有權管理比特幣的證明。
硬件錢包的工作原理,就是將私鑰存在一個芯片上,與網絡隔離,即插即用。外形類似U盤。
硬錢包所包含的三大屬性:
1. 硬件錢包中的私鑰不能被導出。。
2. 易備份。設備在初始化配置時會生成助記詞,作為私鑰的備份,當你的設備丟失或損壞以後,可以購買新的設備,然後通過助記詞來恢復私鑰。
3. 可實現多幣種同時管理——絕大多數的硬件錢包,
目前,國內人氣較高的硬件錢包產品,像Ledger Nano S、Trezor、KeepKey 等 ,基本都來自國外,價格在1000元左右。
而因為看好這一領域,很多國內外區塊鏈創業者,都在打造更多的硬件錢包。
“但是,其中大多數廠家對安全理解不到位,導致了很多設計架構問題。”胡銘德指出。
交易所被大量盜幣、軟件錢包不時失竊,硬件錢包,因此被視為最後一道護城河。
這道護城河一旦失守,意味著什麼?
事實上,硬件錢包不是第一次被破解,也不會是最後一次被破解。
2017年,在美國拉斯維加斯舉行的世界黑客大會DEF CON 25上,國外某安全團隊,就向觀眾演示瞭如何破解比特幣硬件錢包。
最早的錢包叫Trezor。
Trezor使用了STMicroelectronics(意法半導體)生產的非安全芯片。黑客在拿到Trezor後,通過拆除其外殼,就可以利用漏洞,轉走比特幣。這個過程最快只需要15秒。
也是在2017年,一個名為“ Large Bitcoin Collider”的組織,組織黑客暴力破解比特幣硬件錢包。該組織將破解過程稱為“挖寶”:一旦成功,錢包內的比特幣,將由參與者共同分享。在近8個月的嘗試中,Large Bitcoin Collider生成了3000萬億條密鑰,其中有十多個錢包的密鑰被“猜對了”,錢包被打開,其中三個錢包內裝有比特幣。
Large Bitcoin Collider稱,對他們來說,重要的並不是盜取比特幣,也不是讓比特幣消亡,而是對新的比特幣算法進行可能的嘗試。
據悉,在未來的量子計算機出現後,生成30000億條密鑰,可能只需要8個小時。光是想想這個,都讓人不寒而慄。
03安全無絕對?
在區塊鏈的世界裡,絕對的安全,存在嗎?
如前文證明了的,硬件錢包,就不存在絕對的安全。
那麼,“代碼即法律”的智能合約,又安全嗎?
設想一下,你簽了一個合同,雖然這個合同是開源的,但是你並不能完全看懂這個合同。這就是大多數人對於智能合約的無奈。
雖然區塊鏈技術能保證你的合同完全按照規則執行,但是合約層的代碼漏洞,卻不易被發現。而開源,就意味著誰都能看。
於是,黑客就成了區塊鏈世界的第一大威脅。
一旦智能合約的漏洞被黑客發現,他們就會發動攻擊。這樣的例子不勝枚舉。
再來看PoW和PoS,它們安全嗎?
區塊鏈的本質在於建立多方信任,而落到技術上,就是處在區塊鏈中間層的共識算法。
現在最主流的共識算法,一種是以比特幣為代表的挖礦機制(PoW),另一種是投票機制(PoS)。
簡單地說,PoW的機制是誰的算力大就信任誰,PoS的機制是誰的比特幣多就信任誰。
理論上講,某個人或群體擁有比特幣網絡51%的算力,或者具有支配51%算力的能力,就能對比特幣網絡發起攻擊。
如果這一天真的降臨,比特幣體系將被摧毀,或者被壟斷。
在全球比特幣算力進一步集中化的今天,算力排行前四的礦池,已經擁有了超過54%的算力。
一旦它們聯手,發動對比特幣的51%攻擊,不是不可能。
安全永遠不是絕對的,而是相對的。
真實的世界本來是一個熵增的過程,它會不斷變化,不斷出錯。
而區塊鏈的使命,則是延緩熵增的速度。
(作者/比薩)
閱讀更多 極豆資本 的文章