最近业内最受关注的安全方面的新闻恐怕就是Solana钱包Slope出现了安全漏洞。
据目前的信息,在这次事故中,有大概9000多个钱包受到牵连,这些钱包持有者大概被盗了超过400万美元的资产。
这次安全事故是怎么发生的呢?其最根本的原因还是在钱包对密钥的处理上出现了问题。
人们发现当用户使用Slope钱包的移动版产生地址时,地址对应的私钥被发送到了Slope的服务器Sentry上,并且是被明文直接发送到服务器的。
这种做法本身就存在两大致命问题:
EtherPOAP:将空投Token X至铸造EtherARK PASS的邀请者与受邀者:3月31日消息,获数字资产金融服务提供商 HashKey Group 支持的以太坊合并凭证 NFT 系列 EtherPOAP 官方宣布,将于 4 月 13 日至 16 日开放EtherARK PASS系列 NFT 铸造,每枚铸造价格为 0.1ETH,并采取白名单机制,EtherPOAP 持有者、EtherPOAP 合作伙伴、受邀出席 Night Of Awakening 的嘉宾以及 ETH 2.0 质押者。铸造 EtherARK PASS 的邀请者与受邀者将同时获得 Token X 空投。
此前报道,HashKey 旗下附属公司 Hash Blockchain Limited(HBL)已获香港证监会发放的运营虚拟资产交易平台牌照,准备推出完全合规的虚拟资产交易平台——HashKey PRO。[2023/3/31 13:36:46]
第一,敏感信息的通信一般都需要经过加密后才能传输。
Michael Saylor:BTC提供的安全性是所有其他加密网络组合的100倍:金色财经报道,Micro Strategy创始人Michael Saylor在社交媒体上称,Bitcoin提供的安全性是所有其他加密网络组合的100倍。[2023/1/29 11:34:38]
第二,照理说钱包的私钥应该只在用户手里,而不应该被传送到第三方设备上。
所以当Slope以这样的方式外泄用户的钱包密钥时就为后来的悲剧留下了致命的隐患。
而接下来便是Sentry服务器被黑客攻破,导致服务器上存储的所有这些用户的私钥被全部窃取。这样黑客便开始挨个盗取用户钱包中的资产。
Developer DAO已开放治理代币CODE空投查询页面:8月4日消息,开发者社区Developer DAO已开放治理代币CODE空投查询页面,或即将开放空投申领。快照已于北京时间2021年11月14日15:41:06完成。
CODE总量共计1000万枚,其中25%(250万枚)将分发给满足以下要求的DAO成员:在区块高度13612670之前持有指定NFT,在Season 0之前参与早期Snapshot提案投票以及拥有指定POAP的成员。总量的10%(100万枚)分发给早期贡献者,即帮助建立DAO并做出卓越贡献的活跃社区成员。[2022/8/4 5:23:28]
在这场重大事故中,目前暂未发现硬件钱包受影响。
在这个事故中,我认为最根本的要害是钱包的私钥在产生时就被外泄了。
通常,还有一种更为普遍的钱包被盗的方式就是用户安装钱包的设备不安全,使得当该设备在联网时黑客能够通过互联网扫描设备上的信息,盗取钱包的私钥或者助记词,从而盗取钱包中的资产。
从这些场景中我们发现,无论采取什么方式,设备的联网是钱包助记词或者密钥被盗的一个必备条件。如果设备不联网,则黑客再有本事,也无法通过盗取私钥或者助记词盗取用户的资产。
而这一点恰恰就是硬件冷钱包保证资产安全的根本。
一个符合标准或者正规厂家生产的硬件冷钱包一定是隔离互联网的。
一般说来,硬件冷钱包产生钱包地址和密钥是在断网的情况下产生。这就保证黑客无法通过网络联网到设备直接盗取密钥。
另外当用户需要用硬件冷钱包发送资产到其它地址时,硬件冷钱包也是在断网的情况下用私钥对交易进行签名,然后再将签过名的信息传送到联网设备,由联网设备将交易进行广播并完成的。在这里,设备在使用私钥时也是在断网的情况下完成,这也保证了黑客无法通过网络窃取私钥。
纵观硬件冷钱包的使用过程,我们发现,但凡出现私钥或者使用私钥的场景都是在断网的情况下完成,所以这从根本上断绝了黑客盗取私钥的途径,从而保证了硬件冷钱包的安全。
因此,一般来说,我们可以仔细观察市面上较为知名的硬件冷钱包厂商。如果某个厂商出品较久,并且一直以来没有出现过安全事故,那么大概率这个厂商出品的硬件冷钱包就是比较安全和可靠的。
我们就可以比较放心地选择这个厂商的产品。
这次Slope安全事故对我们普通用户最大的教训恐怕还是我曾经反复提及的:那就是我们需要一个硬件冷钱包。我们需要将大部分平时不用来交易的资产存储到这个冷钱包里。
来源:金色财经
标签:ETHETHEHERTHEXETH币togetherbnb剧情到哪了3X Short Tether Gold Tokentogetherbnb喝醉之后能干嘛
在加密市场中获取高额收益的方法有很多,其中在项目Token发行前,布局未来空投就是重要的手段之一.
1900/1/1 0:00:00导演第772篇原创每日行情分析2022.08.11一、市场情绪:二、图表结构:1、大饼:大饼1H的结构:??大饼又再次突破了这个1H的中枢结构,这里回踩依然还是看是否会形成1H的三买的机会.
1900/1/1 0:00:00这些大厂推进的速度比你想象中的还要快作者:JTSong原文:《一文盘点:传统行业在Web3及NFT板块的布局——可能比你想象的推进速度更快》2022年8月4日.
1900/1/1 0:00:00近日,全球首款Hashii品牌的硬件加密数字版画发布,这款由酷天下(重庆)有限公司(以下简称“酷天下”)独家发行的数字版画,一经发售便赢得了国内藏家的追捧.
1900/1/1 0:00:00没有比特币的区块链是一种分布式账本,其中包含有关供应链项目、不可替代代币(NFT)等的信息。去中心化账本或区块链有许多应用程序,尽管加密是其最著名的实现.
1900/1/1 0:00:00市场消息8月10日凌晨消息,加密货币交易所Coinbase今日公布了该公司的2022财年第二季度财报.
1900/1/1 0:00:00