所以从第一方面来看,软件钱包需要保证在其算法设计中第一保证私钥的随机数能够在各类环境中生成,如各浏览器中,IOS 和安卓系统中等。第二保证生成的随机数重复率低,才能有效控制私钥的随机性风险;而对于硬件钱包,其主要依赖于自身的安全芯片进行随机数生成。一些列出各类钱包随机数生成方式。 硬件钱包私钥随机性生产情况,来源:TokenInsight [4] 国际通用准则(CC) CC(Common Criteria) 是国际标准化组织统一现有多种准则的结果,是目前最全面的评价准则。CC 将评估过程划分为功能和保证两部分,评估等级分为 EAL1、EAL2、EAL3、EAL4、EAL5、EAL6 和 EAL7 共七个等级,等级越高,安全性越高。EAL4+是金融安全芯片的基础评估等级。 第二点,关于私钥的存储风险,给钱包技术开发团队带来的最大挑战是做出适应不同操作系统的安全存储方案,其中包含了冷热隔离,加密保护(不可逆的加密方式,对本地数据可加密等)生物识别(指纹识别、人脸识别等)等保护措施。而硬件钱包除使用二维码扫描、蓝牙、USB 等方式与网络互动带来的触网风险外,外力物理导致的设备损坏风险也需要纳入考量。 最后关于私钥的使用风险,大部分交易需要联网操作,于是这中间就会面临 HTTPS 劫持或 DNS 劫持等,用户容易被「钓鱼」。2020 年下半年就发生了两起钱包钓鱼事件,由于用户邮箱数据的泄露,2020 年 10 月 26 日,硬件钱包制造商 Ledger 遭到网络钓鱼攻击,一些用户收到了钓鱼软件的邮件后导致资金流失。而此次数据泄露也殃及了竞争者 Trezor,2020 年 12 月 11 日,Trezors 同样遭到钓鱼攻击,用户收到信息显示其 TREZ0R 钱包已被停用。由于新的 KYC 规定,用户需要通过验证。有安全专家曾表示,Trezors 网络钓鱼攻击似乎源于从 Ledger 中被盗的同一个数据库,出现了同样的名字和号码,而且与 Trezors 无关。 由此可见,钱包仍旧有大量的安全风险隐患难以解决,而随着黑客手段越发高超,无论对于软、硬件钱包,仍需在用户私钥安全性上加强开发研究。Ledger 曾于 2020 年 9 月升级其软件套件「Coin Control」以更好保护用户隐私、设置转账等功能,并声称此次升级可帮助用户防止「粉尘攻击」。 Ledger 遭受钓鱼攻击时间线,来源:TokenInsight 行业声音「去中心化钱包未来的路还很长,并且充满了希望。以 Uniswap 等去中心化交易平台带动了钱包去中心化交易场景。去中心化理财是刚需,金融衍生品不断刺激下去中心化钱包会越来越方便。」 (责任编辑:admin) |