1. 首页
  2. 金融科技

a16z:私钥屡被攻破?Web3 安全还得从钱包说起

加密钱包安全、托管平台的特征与缺陷。

本文来自a16z,原文作者:Nassim Eddequiouaq & Riyaz Faizullabhoy

 

个人对自己的私钥(和加密资产)有直接和唯一的控制权(和所有权)——坚持这种理念的加密钱包被称为“非托管”钱包,这意味着外部无法访问密钥。

直到一系列“非托管”钱包黑客事件——9 月 Wintermute 私钥遭“暴力破解”损失1.6 亿美元,8 月侵入超过 8000 个账户的 Slope 钱包黑客,2020 年盗取超过 200 万美元 IOTA 的 Trinity 钱包黑客,2017 年窃取 15 万 ETH 的 Parity 钱包黑客,以及各种硬件钱包漏洞,模糊了托管和非托管钱包之间的安全界限。在此类案件中,受害者认为自己使用的是一个非托管钱包,但发现私钥竟然被盗。

事实上,非托管钱包并不能真正让用户完全控制自己的密钥,因为钱包通常是由他人的软硬件创建和运行的。用户在不断地信任第三方产品。这些产品集成或使用着区块链命令行接口、钱包软件和设备、中心化平台、智能合约代码、去中心化应用程序,而每一个接触点都增加了风险。所有这些连接点加起来粉碎了人们对“非托管”概念的美好幻想。

“非托管”实际上可能涉及许多托管元素。

一般来说,密钥管理(钱包安全的基础)可以分为三个方向:

  1. 密钥生成(创建加密密钥);

  2. 密钥存储(保护静态的密钥);

  3. 密钥使用(使用密钥授权)。

每个方向都有独特的风险点。

本文将介绍加密钱包安全和托管平台的特征和缺陷,涵盖未来最需要关注和发展的领域,旨在帮助 Web3 用户更好地理解以非托管方式保护加密资产的复杂性。此外,我们也想帮助工程师识别和避免钱包开发中的常见故障点,借助我们多年来在 Docker、Anchorage、Facebook 和 a16z 加密系统中的综合经验,帮助用户和项目方避免安全事故。

密钥生成

密钥生成步骤的安全至关重要。在这个环节,有三个首要问题需要牢记:使用可靠的代码、正确地实现代码和安全地处理输出。

一些钱包提供商在他们的官方网站或 Github 存储库上发布的审计报告。自己做调查,试着确定钱包背后是否有信誉良好的公司。如果信息稀少,那么重要的用户和开发人员的活动可能会是参考指标。

遵循这些指导方针来减少风险。如果你的钱包没有通过以下检查,赶紧跑吧。

不使用没有经过足够长时间的检验的钱包

- 星际资讯

免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。

下一篇:Moola 事件 800 万美元蒸发,Mango Market 悲剧再次上演
« 上一篇
上一篇:UGC 平台,为啥在 Web3.0 里混得有点艰难?
下一篇 »

相关推荐