今日圈内各路媒体都开始进行屯币日的宣传,吸引了一波又一波的人买币提币,但是在这个关键环节,却有人爆料自己的Trezor硬件钱包转币的时候,遭遇盗窃,损失惨重。
据悉,帖子的作者将币转到火币的时候,遭遇币被盗,然后损失5个左右的比特币,并一时引起大家纷纷议论,最后根据大家的了解,基本上确定这是由于电脑中了剪切板病毒,使得在转账的时候,地址被替换掉,然后就这样被转走了。
当然最让人争议的是硬件钱包的安全性,trezor是很多人都使用的一款硬件钱包,并和ledger钱包差不多齐名,由于非常流行,可能在使用的时候会引起黑客的针对,导致损失惨重,因为大多数人都非常信任硬件钱包,因此在使用上可能比较麻木大意,这样也容易造成资产丢失,因此这里有必要写一篇关于硬件钱包的相关文章,让大家正确的使用硬件钱包。
1、硬件钱包的种类
目前主流硬件钱包有trezor和ledger两种品牌,这属于一线品牌,二线品牌种类比较多,比如keepkey、库神、cobo、比特护盾、bepal、coolwallet等等,当然还有一些新晋入硬件钱包领域的很多品牌,这里就一一不进行列举了。
形式上硬件钱包也是五花八门,但是主要还是外观分为U盾形状、手机形状、卡片式、MP3式这几种,比如我们常见的ledger就是U盾形式的,库神的钱包大多数为手机形式的,卡片式的主要为bepal、coolwallet、库神等,而MP3/MP4形式的硬件钱包则更多,比如imToken的、cobo的等等。
2、硬件钱包支持的币种
一般基本所有的硬件钱包都支持比特币和以太坊,再加上ERC20代币,而部分钱包比如trezor和ledger钱包则支持的币种会更多,因为这两类的钱包相关接口开放,因此一般项目方也乐意去在其上面开发相应的币种支持功能,唯一需要的就是项目方软件方面的支持,比如你用ledger钱包去保存你的ONT(本体)资产,你需要下载OWallet钱包软件,然后钱包连接电脑,接着就可以看到ledger的功能了,这个功能一般与ledger钱包官方无关,属于项目方开发的适配功能。
还有一些钱包本身就不提供接口,由钱包方进行相关币种的支持,比如库神的钱包,支持的像莱特币、狗狗币等币种,就是钱包方开发的,与项目方无关。
当然理论上,几乎所有的硬件钱包都能支持所有的币种,但是因为一些钱包接口和开发商的原因,或者部分材质等限制,也就没能过多的支持,因此对于选购硬件钱包,我们一定要清楚自己的需求,也就是保存什么币,钱包是否支持,这是非常关键的。
3、钱包购买途径
一般来说,硬件钱包建议去官网购买,或者你可以去官方旗舰店购买,但是原则上不能购买来历不明或者二手钱包,主要原因是前几年网上纷纷出现的钱包被调换或者被拆机插入木马盗取用户资产的事情,因此购买钱包一定要注意其购买途径。
当然现在随着钱包制造商的重视,其实一些钱包商也提供防拆机的功能,用以保障用户的钱包安全,比如cobo金库就使用了拆机销毁的功能,只要钱包被拆机,那么内部芯片就会销毁,黑客无法得到想要的数据,笔者手中也有一款别人送的keybox钱包,这款钱包是采用碳纤维 铝镁合金外框一体成型,没有一颗可以拆卸的螺丝,因此也可以保证钱包无法被拆机,还有就是比如现在流行的卡片式钱包,和银行卡类似,被封装在卡片中,也无法被拆。
Cobo金库
keybox
库神
当然现在二手咸鱼网上也有很多卖硬件钱包的,而且还有一些价格比官网低很多,因此这里很多人可能会贪便宜去咸鱼上购买,其实个人建议,除了卡片式的钱包之外,其他的各类钱包都不要去咸鱼上购买,因为你不知道官方宣传的各类防拆机到底有没有用,有的可能有用,有的可能没用,甚至有的黑客不去拆机而是在相关的数据连接线上动手脚,因此这都不能保证你手里硬件钱包的安全。
而对于卡片形式的钱包,笔者查询到一般这种钱包都是使用NFC通讯的,钱包并没有带电池,而且芯片是被封装在塑料里面的,因此无法被拆解,供电也是由手机NFC提供,因此这种钱包还是可以购买的,当然即使卡片钱包在咸鱼购买,也要问清钱包来路,让卖方提供完整的获取途径的证据,这也是保护自己钱包的一个重要手段。
当然现在卡片钱包一般也比较便宜,市面上的基本都是一两百块钱,因此如果可以,建议去官网买新的。
4、钱包交互方式
目前钱包的交互方式也有很多,一般通过蓝牙、二维码、数据线、NFC这几种进行数据连接和交换,使用的辅助设备一般为手机和电脑。个人建议能用手机和钱包交互,那么尽量不要用电脑,除非你专门做一个U盘启动或者光盘启动形式的LIVE CD形式的linux系统,做到随用随清。
其实一般电脑的危险程度比手机多很多,除非你的手机root之后还安装各类乱七八糟的软件,否则一般手机和钱包交互是安全的。钱包和手机交互时,建议使用手机流量或者可信WiFi,对于公共WiFi尽量不要用,虽然钱包最后的签名数据是加密的,但是也不能保证被劫持或者通过公共WiFi侵入到手机中,最后做到替换转币的钱包账号,就和开头说的那样,用户最后的提币地址被替换掉,使得黑客成功盗取资金。
5、钱包是否需要屏幕
曾经很多人都说钱包需要屏幕,以便抵挡前面说的剪切板攻击,具体就是转币过程中,需要用户从钱包上实体按键进行确认,在确认的时候会显示转币的地址,以便使得用户对比,防止错误,比如前面那位币被盗的用户其实就是他在转币的时候,没看钱包屏幕,因此使得币被转走,这种属于错误操作,但是也说明了屏幕的重要性。
另外一些钱包却没有屏幕,比如最典型的卡片钱包,只有一张卡片,这里就有很多人质疑,因此也使得很多卡片钱包销售量并不怎么好。
个人观点,钱包是否需要屏幕还是主要看在什么设备上使用,前面已经说过,电脑上用钱包很危险,因此只要和电脑连接的硬件钱包,都建议选用带屏幕的,而一般安卓手机的安全性还是比较不错的,所以使用安卓手机的用户和钱包交互的时候可以选择没屏幕的钱包,当然有屏幕更好。
至于没屏幕的硬件钱包,比如卡片钱包,即使使用安卓手机进行交互,我们也得注意,那就是尽量专机专用,也就是说为卡片钱包专门配置一个新手机或者没root的恢复出厂设置的手机,手机不能随便刷机或安装其他软件,真正做到专机专用,这样还是比较安全的。
6、硬件钱包的开源问题
硬件钱包本质上其实是一个密码签名器,也就是说硬件钱包本身不保存资产,只是进行相关的签名,比如我们使用trezor钱包,那么当我们利用电脑向硬件钱包发起转币的操作的时候,其实主要是硬件钱包将这个操作利用我们的私钥进行签名,然后广播到网络上,这样就完成了一次交易,一般来说,硬件钱包的私钥都是使用安全加密芯片进行加密的,不太容易被**。
钱包开源是比较关键的,一些钱包因为漏洞可能会被黑客钻空子,因此开源可使得钱包的软件层面更安全,当然一些钱包因为自身专利,所以不方便开源,这样的钱包,除非是大品牌厂商,比如飞天诚信这类上市公司专业做银行级的硬件,否则不太建议选用,如果非要选用,一般钱包都要进行相关安全性测试。
7、钱包的安全性测试
开机钱包测试主要是从结果导向的测试,虽然不全面,甚至没啥效果,但是也是一个必需步骤,甚至也有可能检测到钱包的软硬件问题,以防万一。
主要内容就是打开钱包,存入少量的比特币或者以太坊,然后将币转出,再然后增加币的数量,再进行转入,再转出,记得转入转出中间间隔时间要长,一般一天左右,中间也可以重新生成助记词和新钱包,重复转入转出操作,如果你的硬件钱包以后需要保存更多的币,那么就多进行几次,这样,如果黑客控制了钱包,那么他会在第二次或者第三次的时候将币转出去,这种有点类似于钓鱼的策略,可能会暴露出钱包的问题,如果你的钱包没有问题,通过测试,那么你就可以安全放心的将币转进去了。