冷錢包真的安全嗎？關鍵在于它的背書_比特幣:Bitcoin CZ

區塊鏈世界存在絕對的安全嗎？安全也許永遠不是絕對的，而是相對的。幾乎所有錢包都有致命漏洞，黑客接觸手機2分鐘，就能轉走幣。冷錢包，又稱硬件錢包。

相當于把私鑰存在一個芯片上，不聯網，被視為“絕對安全”的存儲幣的方式。

這里一度成為區塊鏈世界的最后一片安全凈土。

而現在，幾乎所有的硬件錢包，都被破解過。

黑客只需要接觸手機兩分鐘，不管你是否屏蔽，就可以輕易轉走所有的幣。

隨著錢包熱興起，很多新廠商加入這一戰場，但它們對安全的理解往往不到位。這大大增加了安全隱患。

冷錢包還值得信賴嗎？

區塊鏈的世界，到底是否存在絕對的安全？

01不安全的錢包

你知道嗎？其實大部分的錢包，都可以被破解。

包括冷錢包。

一個公司的工資員告訴記者，他所在的團隊，就通過技術手段，當眾破解了兩個國內外知名的硬件錢包。

Ceffu：永遠不會混合客戶存放在冷錢包中的資產:5月24日消息，加密資產托管公司Ceffu（原幣安旗下托管服務Binance Custody）表示，其托管平臺的基礎運行在隔離的賬戶和錢包系統上，這意味著客戶存放在冷錢包中的資產永遠不會混合。

Ceffu通過場外結算解決方案Mirror提供支持，機構客戶將資產專用金額鎖定在自己的Ceffu冷錢包中，然后以1:1的比例記入他們的幣安交易賬戶，這些資產將始終保存在Ceffu冷錢包中。Ceffu稱該解決方案已通過ISO 27001/27701認證、SOC 2類型1和類型2認證，并接受定期安全檢查。[2023/5/24 15:22:54]

第一個，是在2019年初獲得8000萬美金融資的法國Ledger錢包。

“Ledger錢包在設計上有一個安全芯片和一個非安全芯片，我們通過強制升級非安全芯片的方式，在不拆除外殼的前提下，就能一步步取得錢包的PIN碼。”工作員說。

聲音 | AuthenTrend副總裁：冷錢包AT.Wallet將于2月份在美國上市:中國臺灣安全公司AuthenTrend的冷錢包AT.Wallet配有電子墨水屏幕和基于指紋的安全性。AT.Wallet使用生物識別技術暫時解鎖設備，以便顯示存款的二維碼和當前的加密余額。這款設備有一個連接到電腦上的USB外殼，以及用于與iOS和安卓設備同步的低能耗藍牙支持。該公司副總裁Zake Huang表示，這款錢包將于2月份在美國上市。Huang沒有提供這款設備的定價，但表示該公司計劃主要在亞馬遜上銷售。（CoinDesk）[2020/1/7]

PIN碼相當于錢包的密碼，有了它，就可以打開錢包，把錢轉走。

除了Ledger，團隊還發現，其實大部分基于手機平臺的比特幣錢包，都可以被破解。

“幾乎所有手機上的錢包，都能破解。”工作員稱，不管是手機APP的軟錢包，還是硬錢包。

比如，他們在對國內多款錢包進行測試時發現，通過導出錢包固件，不僅可以看到多個幣種的緩存信息，還可以找到生成助記詞的各種庫。

動態 | 上萬枚ETH轉入Bitfinex，隨后轉入冷錢包:據合約帝鏈上數據監測顯示：北京時間6月7日20:44，12838枚ETH轉入Bitfinex交易所賬戶，價值約316萬美金，3分鐘后該賬戶轉出9443枚ETH至Bitfinex冷錢包。[2019/6/7]

工作員指出，這是一個很通用的USB漏洞。黑客可以很輕松地植入惡意軟件，盜走交易口令和私鑰信息。

“只要接觸手機2分鐘，黑客就能搞出數據，不管你是否有屏蔽保護口令。”稱這個漏洞，極其嚴重。

在他看來，這才是最危險的——包括小米、魅族在內的大部分國產手機品牌的中低檔機，“都用的是MTK芯片方案”。

這就意味著，絕大多數硬錢包和軟錢包，都不安全。

02冷錢包

保守估計，現在市面上有上百家廠商的錢包產品。它們可分為兩類，一類是軟件錢包，一類是硬件錢包，即冷錢包。

動態 | QuadrigaCX已將其所有加密資產發送至安永冷錢包:據coindesk消息，2月14日，52個BTC和960個ETH從加拿大交易所的地址被發送到新創建的區塊鏈地址。這些金額與安永此前表示，在該交易所的“熱”錢包中發現的余額相符。周四，安永證實，正如預期的那樣，它已通過密碼從QuadrigaCX的賬戶轉移至自己的冷錢包(cold wallet)來控制這筆資金。EY表示:2019年2月14日，在測試了轉賬后，申請人成功地將以下加密貨幣轉賬至監控器。共轉賬51個比特幣、33個比特幣現金、2000個比特幣黃金、822個萊特幣、951個以太坊。報告還表示:在法庭進一步裁定之前，監控人員將把加密貨幣存放在冷錢包中。[2019/2/21]

但硬件錢包是什么？

比特幣是存在區塊鏈上的，而私鑰，是你擁有和有權管理比特幣的證明。

硬件錢包的工作原理，就是將私鑰存在一個芯片上，與網絡隔離，即插即用。它的外形，有點像U盤。

聲音 | 金丘區塊鏈研究院洪蜀寧：可用OP_CLTV解決QuadrigaCX交易所冷錢包私鑰丟失難題:金丘區塊鏈研究院院長洪蜀寧發文稱，針對QuadrigaCX交易所CEO意外死亡、冷錢包私鑰丟失難題，比特幣（包括BCH和BSV）提供CHECKLOCKTIMEVERIFY指令（OP_CLTV）可解決兩難問題。CEO只需將冷錢包的資金轉到下述腳本的P2SH地址。 OP_IF后面2行指令允許公司CFO、COO、CTO三人中任意兩人花費資金，但必須在本交易打包一年后才行，在一年內即便他們提供正確簽名也無法完成轉賬。這樣可以避免他們在未經CEO同意的情況下串謀轉移資金，保護冷錢包資金的安全。 正常情況下，CEO可隨時花費該地址的資金，萬一CEO意外身亡，在該交易打包一年后，公司CFO、COO、CTO可利用2-of-3多重簽名將資金轉出。也就是說，最多等待一年時間，冷錢包中的資金就可正常使用，客戶只需要等一段時間，而不會有實際資金損失。CEO需要做的是每隔一年時間，重新將資金轉移到一個新的P2SH地址中，腳本內容與上述代碼所示一樣，只要修改一下到期時間即可。[2019/2/4]

在業內，硬件錢包被普遍認為是最安全的數字貨幣存儲手段。人們的理由主要有三點：

1.硬件錢包中的私鑰不能被導出。因為不聯網，杜絕了黑客攻擊。

2.易備份。設備在初始化配置時會生成助記詞，作為私鑰的備份，當你的設備丟失或損壞以后，可以購買新的設備，然后通過助記詞來恢復私鑰。

3.可實現多幣種同時管理——絕大多數的硬件錢包，除了管理比特幣，還可以管理萊特幣、以太坊、比特現金等數字貨幣。

因為看好這一領域，很多國內外區塊鏈創業者，都在打造更多的硬件錢包。

“但是，其中大多數廠家對安全理解不到位，導致了很多設計架構問題。”工作員告訴記者。

交易所被大量盜幣、軟件錢包不時失竊，硬件錢包，因此被視為最后一道護城河。

這道護城河一旦失守，意味著什么？

事實上，硬件錢包不是第一次被破解，也不會是最后一次被破解。

2017年，在美國拉斯維加斯舉行的世界黑客大會DEFCON25上，國外某安全團隊，就向觀眾演示了如何破解比特幣硬件錢包。

其中就包括最古老的比特幣錢包Trezor。

Trezor使用了STMicroelectronics生產的非安全芯片。黑客在拿到Trezor后，通過拆除其外殼，就可以利用漏洞，轉走比特幣。

這個過程最快只需要15秒。

也是在2017年，一個名為“LargeBitcoinCollider”的組織，組織黑客暴力破解比特幣硬件錢包。LargeBitcoinCollider這個名字，就是直接取自歐洲粒子物理研究所的大型強子對撞機的名字，意為用強大的計算能力，去猜出錢包的密鑰。

該組織將破解過程稱為“挖寶”：一旦成功，錢包內的比特幣，將由參與者共同分享。

在嘗試中，LargeBitcoinCollider生成了3000萬億條密鑰，其中有十多個錢包的密鑰被“猜對了”，錢包被打開，其中三個錢包內裝有比特幣。

在成功地分享了這三個錢包中的比特幣后，暴力破解行為結束了。

LargeBitcoinCollider稱，對他們來說，重要的并不是盜取比特幣，也不是讓比特幣消亡，而是對新的比特幣算法進行可能的嘗試。

據悉，在未來的量子計算機出現后，生成30000億條密鑰，可能只需要8個小時。光是想想這個，都讓人不寒而栗。

03安全無絕對？

在區塊鏈的世界里，絕對的安全，存在嗎？

如前文證明了的，硬件錢包，就不存在絕對的安全。

那么，“代碼即法律”的智能合約，又安全嗎？

設想一下，你簽了一個合同，雖然這個合同是開源的，但是你并不能完全看懂這個合同。這就是大多數人對于智能合約的無奈。

雖然區塊鏈技術能保證你的合同完全按照規則執行，但是合約層的代碼漏洞，卻不易被發現。

而開源，就意味著誰都能看。換句話說，你簽了一個看不懂的合同，你身后的黑客，卻能看懂。

于是，黑客就成了區塊鏈世界的第一大威脅。

一旦智能合約的漏洞被黑客發現，他們就會發動攻擊。這樣的例子不勝枚舉。

有數據顯示，以太坊發展至今，黑客至少竊取了價值10億美元的數字資產。

再來看PoW和PoS，它們安全嗎？

區塊鏈的本質在于建立多方信任，而落到技術上，就是處在區塊鏈中間層的共識算法。

最主流的共識算法，一種是以比特幣為代表的挖礦機制，另一種是投票機制。

簡單地說，PoW的機制是誰的算力大就信任誰，PoS的機制是誰的比特幣多就信任誰。

理論上講，某個人或群體擁有比特幣網絡51%的算力，或者具有支配51%算力的能力，就能對比特幣網絡發起攻擊。

如果這一天真的降臨，比特幣體系將被摧毀，或者被壟斷。

在全球比特幣算力進一步集中化的今天，算力排行前四的礦池，已經擁有了超過54%的算力。

一旦它們聯手，發動對比特幣的51%攻擊，不是不可能。

照此推論，得出的結論，可能是悲觀的。

區塊鏈世界存在絕對的安全嗎？

或許，我們可以換個角度，來思考這個問題。

安全永遠不是絕對的，而是相對的。

真實的世界本來是一個熵增的過程，它會不斷變化，不斷出錯。

而區塊鏈的使命，則是延緩熵增的速度。

找靠譜礦場就選原力區，行業實力低調派系，小窗站長或加官方bidao188

Tags：比特幣區塊鏈BITOIN比特幣錢包下載安裝區塊鏈通俗易懂的例子圖Bitcoin CZIxcoin

ICP