数字钱包的正确打开方式(直播活动 - 文字版整理)
当前人们对钱包的关注度越来越高,以防范中心化交易所带来的不稳定性。为此,我们邀请了 imKey 和 团队的两位嘉宾,她们会分别从如何使用硬件钱包保管资产,以及如何安全使用钱包这两个角度,与大家进行深入的交流。
嘉宾介绍
,目前在 负责用户安全教育相关工作。 是一款非托管数字钱包,创建于 2016 年,至今 0 事故,帮助全球 150 多个国家的 1,500 万用户走进区块链世界,帮助用户管理比特币、以太坊等主流公链和 、 等 网络上的代币和 NFT 等数字资产,同时支持去中心化币币兑换功能与开放的 DApp 浏览器。
175,目前负责 imKey 社区相关工作。imKey 创立于 2018 年,其核心成员来自区块链公司、传统金融机构,还有安全硬件厂商,具备非常互补的嵌入式安全和加密货币背景。imKey 创立之初,获得了全球知名区块链钱包 天使投资,imKey 长期专注于加密资产安全领域的研究,现已推出 imKey Pro 硬件钱包、密盒等系列安全产品。其中 imKey Pro 硬件钱包是一款专业的冷钱包设备。
主持人提问
:当前使用钱包的人越来越多,首先想问 团队的 ,与中心化的托管钱包相比,什么是去中心化钱包,它的优势是什么?
:中心化的托管钱包。其特点是操作简单,用户无需理解复杂的私钥概念和备份助记词。即使忘记密码也可以找回账户。但由于私钥由对三方平台掌控,一旦平台出现安全问题,用户的数字资产将遭受巨大损失,且通常无法从平台中找回。
去中心化(非托管)钱包与中心化钱包不同。最大的不同是,私钥由用户保管,资产存储在区块链上。用户是数字资产的真正持有者,因为只有他们才能实际控制自己的资产。钱包只是帮助他们管理链上资产和读取数据的工具。使用去中心化钱包的用户无需担心钱包服务商停止运行或跑路,只要你在创建钱包时保留了私钥,你就可以找回钱包并恢复数字资产。下图是两者间的对比。
去中心化钱包的优点表现在:
完全控制数字资产。去中心化钱包能让用户直接控制他们的数字资产,而不必将资产存储在中央服务器上,因此用户可以随时随地访问并使用他们的资产。
更高的安全性。去中心化钱包通常使用区块链技术,这种技术提供了强大的安全性和防护措施,可以有效地防止黑客攻击和数据泄露。
完全的隐私保护。去中心化钱包不需要用户提供个人信息,因此用户的隐私得到了更好的保护。
高度的可扩展性。可以支持大量的数字货币和区块链网络。由于它们不需要依赖中心服务器,因此可以通过添加新的区块链节点或更新软件来扩展钱包的功能。
:最近人们对硬件钱包的关注度也非常的高。我相信新手用户都很好奇:与软件钱包相比,硬件钱包的优势是什么?
175:硬件钱包是非常有优势的。我们通常所接触的钱包大都为热钱包,热钱包就是由软件钱包创建的,无论是用手机还是电脑创建钱包,都会在本地有一份缓存。如果你的手机或者电脑有安全隐患,那这是非常危险的。有数据统计,在所有的数字资产攻击事件中,超过 66.3% 的丢失,是在联网环境下黑客通过远程攻击,造成了助记词泄漏,进而造成资产被盗。这个数据统计也就说明了,冷钱包是多么的重要。
给大家重点介绍一下冷钱包的优势吧!冷钱包是在隔离网络环境的情况下创建的离线钱包,敏感信息都保存在安全芯片里。它可以阻断黑客通过互联网,盗取用户助记词的可能性,使钱包里的资产更加安全。
硬件钱包就是一种更为专业的冷钱包设备,它除了有冷钱包的基本属性外,还有硬件实物,可以离线保管私钥,像 imKey Pro 更是增加了物理实体按键确认,让每一笔交易都经过你的按键确认。这个功能也就是我们所说的离线签名。
:imKey Pro 作为一款专业的冷钱包设备,是如何保障用户资产安全的?团队为此做了哪些事情?
175:imKey Pro 针对硬件钱包可能被攻击的场景, 有一套完整的安全机制来保障自身安全,我将通过 6 个方面给大家介绍:
芯片安全:imKey Pro 选用了军工级 CC EAL6 + 安全芯片,对比市面上常见的 CC EAL5 + 的硬件钱包,安全等级更高!
支持蓝牙 & USB 连接:全程不触网,确保你的助记词 / 私钥离线生成并储存。
不可逆封条:在产品的外包装上贴上不可逆封条,一旦被打开即可被发现,确保你手中的 imKey Pro 是未拆封的!
激活程序:每台 imKey Pro 都有一个激活程序,这个激活只有 1 次机会,并且激活不可逆。
PIN 码安全:PIN 码就是个人身份码,用来验证使用 imKey 的用户身份。PIN 码需要物理输入,大大降低被截获的可能,同时连续输错 5 次将会重置钱包,以保证钱包资产安全。
绑定码安全:绑定码由 8 位随机的数字和字母组成,用于 imKey 与 客户端一对一绑定,以防止非授权客户端访问 imKey。
这样说可能比较抽象,给大家说 1 个情况,来解释下 PIN 码和绑定码是如何保证数字资产安全的。假如你的 imKey 硬件钱包不慎丢失了,你是不是会担心捡到的人盗取你的数字资产?实际上数字资产是不可能被盗取的,因为打开 imKey 需要用 PIN 码来解锁 imKey,如果捡到的人连续输错5次,设备会被强制重置,没有助记词是无法恢复钱包的。如果捡到 imKey 的人运气特别好,猜对了 PIN 码,也完全不用担心,因为在 imKey 上是无法查看到私钥和助记词的,他只能想到利用硬件钱包完成转账。但转账需要硬件钱包先与 完成绑定,而且在硬件钱包上无法查看绑定码,所以无法完成绑定,进而转走你的数字资产。在 PIN 码和绑定码的双重防护,你的数字资产安全可以得到保障。当然,也要再此提醒大家,备份好助记词是最最重要的。
:刚有提到在具体的使用过程中,imKey 是全程不联网,通过蓝牙完成离线签名的。利用蓝牙传输数据,就会面临被中间人攻击的潜在风险,我想问硬件钱包是怎么防范这类攻击事件的呢?
175:不可否认蓝牙连接确实存在被中间人攻击的潜在风险,前面也提到过 imKey 团队在安全方面的专业性,早在 imKey 产品设计初期,团队就已经充分考虑到这点,因此采用了绑定码的安全机制来防范被中间人攻击的风险。另外,imKey 针对蓝牙连接的潜在风险,还从 3 个方面进行了安全实现:
对 imKey 的蓝牙访问 API 进行访问限制,也就是说当你在 APP(如 钱包)上,用蓝牙搜索设备时,只能搜索到 imKey 设备,无法搜索到其它非关联的设备。
imKey 的蓝牙连接是一对一的,当 imKey 设备处于蓝牙连接状态时,其它设备是无法搜索到当前这台 imKey 设备的。
蓝牙传输仅仅传输签名信息,是不会涉及助记词等敏感信息的,因为,目前所有的助记词生成的种子都是直接存储在安全芯片内。是没有任何接口可以读出助记词种子的。绑定码逻辑也保证了数据传输过程中有足够安全的加密逻辑。绑定端拿到的也只有地址信息而已,所以在蓝牙连接方面大家可以非常放心。
:我之前了解到,硬件钱包的攻击场景中,供应链攻击是常见的一种,所谓供应链攻击就是指在运输的过程中硬件钱包被人掉包或者里面的代码被修改。imKey 在这块是如何防范的呢?
175:imKey 团队的供应链安全管理主要涉及4方面:
源头控制手机imtoken的下载地址软件哪个好,精益生产:imKey 团队和国内知名的安全硬件供应商飞天诚信签署了战略合作协议,imKey 全程参与生产、质检。
运输校验:为了预防物流运输过程中 imKey 被恶意替换,产品做了两层防护措施,一方面在包装上采用不可逆封条,一旦撕开后将彻底无法恢复,并且发货时必须采用飞天诚信的原厂包装与胶带,并约定包装规则,作为货物接收的签收标准;另一方面产品在首次使用时要强制进行防伪激活验证,如果是非法设备将会提示用户。
顺丰直邮,安全高效:imKey Pro 全程采用顺丰快递,保证运输的时效性和可靠性。
专用仓储,专人负责:imKey 团队在大陆地区的发货都是从官方的杭州仓库直发,充分做好防水、防潮、防火、防盗的仓储管理以及安全措施,并由专人负责管理。
:硬件钱包除了保证资产安全外,使用者更看重的是操作过程是否简单易用。那么,imKey Pro 在具体操作的过程中对新人友好嘛?
175:测试了很多竞品钱包,我可以很自信的告诉大家,imKey 硬件钱包是非常安全好用的。得益于 imKey 和 的深度匹配,imKey 离线生成的钱包地址和 自身生成的钱包地址除了私钥的存储位置不同外,其他方面并无差异。使用 imKey 硬件钱包可以体验 上大部分的功能,比如:
另外,每次 上有新的产品功能上线,imKey Pro 基本可以,无缝支持使用!给大家举个例子吧,比如这次以太坊 2.0 的升级imToken下载,imKey 用户就不需要做任何操作。之后类似的产品功能上线,imKey 也会积极支持,希望大家多多关注。
:请问 ,有了硬件钱包是不是就意味着绝对安全?资产就不可能被他人盗取了?
:imKey 可以尽量保障使用安全,但并不意味着使用硬件钱包就绝对安全。主要与大家的安全意识有关,使用硬件钱包依然存在被盗可能:首先是助记词泄露导致的数字资产被盗:如果助记词保管不当导致泄露,即使拥有硬件钱包,盗币人也可以将助记词导入任意区块链钱包,从而转走你的资产,这个过程是不需要经过 imKey 确认的。 有避免助记词/私钥泄露的十不原则,这里分享给大家。
不要在非官方渠道下载 ,下载时务必认准官网
不要将助记词或私钥保存在微信收藏、备忘录、邮箱
不要将助记词或私钥保存在电脑文件夹、网盘、U盘
不要截屏或拍照保存助记词或私钥
不使用邮箱、微信、传输助记词或私钥
不要将助记词或私钥告诉身边的人
不使用他人提供的 Apple ID
不要将助记词或私钥导入未知的第三方网站
不使用第三方风险钱包
10. 不要复制粘贴钱包助记词或私钥
其次是误签名导致的代币授权:在使用第三方 Dapp 如 需要用户把代币转账权利授权给某一个合约地址,这是代币机制决定的。一般情况的授权是不会有任何风险的,但也有不法分子会利用假的网站骗取用户的签名信息,从而获取代币授权,转走钱包里的数字资产,用户只能通过提高自身安全意识来规避这类风险。可以通过对应的区块链浏览器查询钱包是否有授权记录。
: 接下来是最后的一个问题,就是在日常使用钱包时我们应该在哪些方面加强注意,请 分享一下使用钱包的心得。
:这里主要分享一下使用硬件钱包的心得,当然软件钱包也是一样的,大家在平时使用的过程中要保管好助记词,注意钱包的授权交互。
购买 imKey Pro 前请注意以下几点:
购买后使用前,请注意以下几点:
使用 imKey Pro 时请注意以下几点:
我用 imKey 硬件钱包也比较久了,准备了一款新手指南,这里分享给大家。
如果你想了解 imKey 硬件钱包,可以联系我们:
官方邮箱:@imkey.im
还未拥有 imKey 硬件钱包?点击小程序 快速购买吧!
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。