??— 撰文 |Cobo金库大掌柜 Trezor 又双叒叕被攻破了!1月31日,Kraken 安全实验室发推:Trezor Model T 和 Trezor One 存在软件漏洞,通过物理攻击(即旁路攻击),可在 15 分钟内成功窃取私钥,攻击成本约几百美金。 目前为止,安全芯片是硬件上防护此类旁路攻击的唯一解法。设计有安全芯片的硬件钱包,私钥的生成和存储始终在安全芯片内,且无法被读取。 想了解安全芯片如何防御各类旁路攻击,可以查看掌柜的这篇文章《安全芯片到底在保护什么?(下)》 如果你恰巧买了没有安全芯片的硬件钱包(如 Trezor 等),那么请切记,一定要启用Passphrase功能。 BIP39 中描述到:用户可以决定使用密语(passphrase)来保护自己的助记词。如果不使用密语,则使用空字符串“”代替。 我们通常把 Passphrase 当做是在原 24 个助记词基础上添加的第 25 个助记词。 使用硬件钱包完成创建助记词钱包后,此时 Passphrase 默认为空字符串“”。设置不同的Passphrase,会进入不同的隐藏钱包(Hidden Wallet),其对应的是完全不同的主私钥,所以派生出来的地址也完全不同。因此设置 Passphrase 之后,可以理解成是生成了一个完全不同的新钱包。 同一套助记词搭配不同的 Passphrase 可以创建无数个不同的隐藏钱包。我们可以利用这一点,通过科学的资产配置方法来预防绑架攻击。 比方说,掌柜有 10 个比特币,1 个放在默认钱包(24个助记词),剩下 9 个平均分散存储在 3 个不同的隐藏钱包里。当我遇到类似“5 美元扳手攻击”这种简单粗暴的绑架攻击时,可以通过暴露默认钱包里的 1 个比特币来保住大部分资产,即使对方扬言要再来一扳手,掌柜还可以用精湛的演技,表示还有“最后” 3 个比特币放在隐藏钱包里。(这样,掌柜还能留住 6 个比特币养老。) 大意如下: Passphrase 如何防御物理攻击? Trezor 用户开启 Passphrase 功能后,每次进 隐藏钱包都需要在原钱包基础上输入一遍 Passphrase。所以,黑客拿到的 Trezor 里只有原始钱包(24个助记词)。由于钱包不会保存 Passphrase,而黑客又无从得知,因此黑客偷不走隐藏钱包里的数字资产。 但是,Trezor 用户可能会因此受到易用性的困扰,每次进入隐藏钱包,都要输入一遍 Passphrase,用起来非常麻烦。但这就是 Trezor 没有使用安全芯片来防护旁路攻击的妥协。 如何开启 Passphrase 功能? 以 Cobo 金库为例: ① 进入“创建/导入金库”页面,连续点击页面右上角6次,进入设置 Passphrase 页面 ② 设置密语(Passphrase),覆盖原钱包,进入隐藏钱包 ③ 如需返回原钱包,可重复步骤1-2,密语保持为空字符串“”即可 点击参考链接[3],查看详细教程。 进一步的,我们通常会开启“哨兵功能”与 Passphrase 搭配使用。在主钱包遭到攻击后,用户可以通过“哨兵”及时转移隐藏钱包下的资产,以防 Passphrase 被猜出的情况。 更多关于“哨兵功能”的知识,掌柜会在下篇文章分享,感谢持续关注~ 参考链接: [1]https://blog.kraken.com/post/3662/kraken-identifies-critical-flaw-in-trezor-hardware-wallets/ [2]https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki???? [3]https://support.cobo.com/hc/zh-cn/articles/360018749914-%E5%A6%82%E4%BD%95%E5%88%9B%E5%BB%BA%E9%9A%90%E8%97%8F%E9%87%91%E5%BA%93 —- 编译者/作者:Cobo钱包 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
被“Passphrase”拯救的上亿资产
2020-02-08 Cobo钱包 来源:火星财经
- 上一篇:币安币在过去24小时内出现剧烈波动
- 下一篇:龙头突围打破僵局
LOADING...
相关阅读:
- 安装了钱包的手机或电脑坏了币是不是没了2020-07-11
- 迎五一·福齐享 10万TOMO币大放送2020-04-29
- 【原创1062】DCEP:发自己的币,让别人(libra)着急去吧!2020-04-16
- 假设你是“小白兔”带着100万RMB 进币圈投资,资产安全防范不可少(刚2020-04-01