LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 新闻观点 > 谨慎胜过忍耐

谨慎胜过忍耐

2020-05-02 wanbizu AI 来源:区块链网络

成为自己的银行也意味着比特币公司的用户应对其投资的安全性负责。加密发烧友可以为自己的投资做的最重要的事情就是注意适当的安全性。本文介绍了一些准则。

这篇文章首次出现在2019年11月的cryptocompass版本中

“成为自己的银行”可能是大多数与比特币和其他加密货币相关的座右铭。来自中央中间商的独立性和相关的困难的可混性构成了加密货币价值主张的重要组成部分。

但是,这种脱离中央中间商的独立性带来了代价:投资者现在必须确保其投资是安全的。您主要负责私人钱包的安全。

在移动钱包时代,不应该低估盗窃后移动钱包中管理的资金也消失的风险。好的移动钱包不只是使用户能够访问集中管理系统的帐户。根据上述理想的加密货币,Jaxx或Blue Wallet等钱包的用户是其比特币或其他加密货币资金的100%所有者和管理者。但是,“不是您的钥匙,不是您的硬币”可能变成一个令人不快的反面:随着智能手机的丢失,您自己钱包的私钥也丢失了。

推荐使用硬件钱包,但不能提供全面的保护。攻击者还可以使用恶意软件破坏它们。

黑客与漏洞:比特币不是一个孤立的案例

这样的安全问题绝不仅限于比特币。智能合约越复杂,那里的风险就越大。 2016年的DAO漏洞和有缺陷的奇偶校验多重签名钱包是两个突出的例子:

在使用DAO漏洞的情况下,攻击者能够利用代码中的安全漏洞从此分散式风险基金的智能合约转移工厂。通过回滚-写在区块链上的交易历史记录的变化-投资者能够将钱取回以太坊区块链。这种激进的方法是例外,即使不是唯一的。 例如,对于Parity Multi Signature Wallet的用户也没有例外:短短的“我不小心杀死了它”一词,直到今天仍然是匿名的用户devops199表示,该钱包后面的智能合约存在致命错误。自那时以来,已经无法访问153,000 ETH。

从2018年3月开始的一项研究表明,这种错误并不罕见:在检查的近一百万个智能合约中,发现了30,000多个安全漏洞并相应地发现了严重的安全漏洞。

绝不将钱委托给第三方可以解决问题。 MtGox,Cryptsy,BitGrail和QuadrigaCX只是被黑客攻击或欺骗其用户的三个交换示例。

谨慎胜过忍耐

但是,并非所有事情都是负面的:一方面,投资者可以采取很多帮助,以确保资产的最高安全性。其次,即使在犯罪之后,也可以采取一些措施来找出黑客的身份。

在本系列文章中,我们希望在这种混合情况下提供简短的介绍。在第一部分中,我们讨论了投资者应寻找的安全点。以下是这些要点的概述,我们在下面将更详细地考虑:


沉默是黄金比特币-OPSEC的基础知识

在2018年春季,一个据称是时空旅行者的奇怪帖子进行了巡回演出。他提到“ Bitcoin Citadels”,由于担心攻击者,比特币投资者必须在2025年撤出这些地方。

这样的反乌托邦离我们并不遥远:有人在2019年9月遭受酷刑折磨致死,应该允许他使用比特币。去年7月,Bitmarket交易所的前所有者被发现死亡。早在2018年夏季,一项研究发现针对加密货币拥有者的抢劫案正在增加。

自由裁量权是投资者抵御此类攻击的重要手段。自由裁量权是黑客所谓的OPSEC或运营安全性的基础。投资者不是黑客,但应该采取类似的立场,对他们的加密货币资产保持沉默。

好的OPSEC还包括一台安全的计算机。与重要的密码和敏感的存储数据一样,此处的规则是投资者应使计算机免受病毒,恶意软件和安全漏洞的侵扰。同样,您不应转到每个页面或下载或打开所有内容。在加密领域尤其如此:并非每个交易所都可以信任,也不是每个所谓的好钱包都真正安全。在投资者选择利基产品和服务提供商之前,他们应该在线查找提供商。

绝对希望安全的投资者应考虑建立一个隔离的系统,即除了资产管理外什么都不做的系统。这可以是您自己的未永久连接到Internet的PC。一种更便宜(但更复杂)的解决方案是在USB记忆棒上设置操作系统,并从该USB记忆棒启动笔记本电脑以进行所有与密码有关的活动。这样,投资者可以确保他们使用的系统没有任何恶意软件。

不是您的密钥,不是您的比特币-控制您的私钥

价值主张Bitcoin and Co完全控制您自己的资产。该控制通过私钥提供给个人。只能使用此私钥移动关联的硬币。由于具有100%的控制权,因此始终建议投资者对其私钥进行控制。在证券交易所存入大量资金,无非就是将您的钱委托给证券交易所。这可能会大大结束,请参阅MtGox,Cryptsy和BitGrail。

困境在于,操作自己的钱包并不能保证完全的安全性。但是,强烈建议使用所谓的冷库。冷库是没有永久连接到Internet的钱包。此类冷存储器的示例包括纸钱包,带有私钥的USB棒或诸如Trezor或Ledger Nano S的硬件钱包。由于它们不经常连接到Internet,因此设备中的设备不能通过网络永久受到攻击。由于私钥存储在设备或纸上,因此攻击者无法从外部访问它。

但是,纸钱包也意味着每个握住这张纸的人都可以完全控制其中的钱。因此,如果有人非法拥有该纸钱包,他们的资产也将消失。

硬件钱包也不是完美的保护:如果它们不安全并且可以在没有密码或类似密码的情况下使用,则窃贼还可以从硬件钱包中取出钱。此外,必须始终使用硬件钱包来考虑计算机的不确定性因素:只要将硬件钱包连接到PC,黑客就可以破坏它。这正是Trezor和Ledger Nano S上显示的内容。

更安全:深冷库和高清钱包

由于存在很多不确定性,因此钱包必须能够免受第三方的伤害。一种解决方法是所谓的深冷库,几乎不易接近。例如,您可以将纸钱包或硬件钱包存放在保险箱中。了解到属于私钥的公钥后,投资者便可以继续获得资金,而无需使用这种深冷库。仅当从以这种方式存储的钱包中付款时,才必须将其从保险箱中取出。

然而,这种方法的问题是资金在地址中积累。但是,由于比特币和其他加密货币不具有门罗币的匿名性,这意味着第三方可以观察到极为诱人的黑客攻击目标。为了躲在雷达后面,将财富分散到多个地址是有意义的。

许多钱包会自动执行此操作。所谓的分层确定性钱包可从由24个单词组成的种子中生成任意数量的成对公钥和私钥。这有两个优点。首先,并非所有投资于此钱包的资金都在一个地址中,这为黑客提供了动力。但是,更重要的是,如果私钥落入不正确的人手中,则只会损失一小部分钱。

大多数投资者可以建议使用硬件钱包。尽管提到了所有风险,但由于按层次确定性地生成了密钥对,因此它们提供了很高的安全性。此外,投资者不会总是将它们存储在计算机上,因此大多数时候它们是冷库,因此黑客无法访问它们。

让我们确保安全:两要素身份验证和多签名钱包

硬件钱包也可以固定。许多硬件钱包都可以选择两因素身份验证。您可能从传统的网上银行或安全的互联网访问中了解到,例如,在使用智能手机之前,投资者必须进行确认。仅此一项就可以大大提高您自己资产的安全性。

正如建议的两因素身份验证一样,可以说两个否定的说法。一方面,纸钱包或基于USB的简单冷库不存在这样的解决方案。然而,更重要的是,这些是比特币以外的软件技术解决方案,至少自从SIM交换以来,两因素身份验证已不再100%安全。确实存在诸如Authy或Google Authentificator之类的解决方案,但是这些系统也受到了损害。

因此,多签名钱包的使用提供了额外的安全性。在比特币生态系统中,可以很容易地将它们放在Electrum钱包中。多签名钱包需要确认几个私钥才能签署交易。

面向投资者的KYC:了解您的收件人

加密货币的存储就这么多。但是发送加密货币呢?这些都是存款和取款的关键步骤。如果您将钱转至错误的地址,则在大多数情况下,这笔钱将无法挽回地丢失。怎么会这样因为实际上只使用了一部分可能的地址,所以:可以在比特币区块链上定义大约1060个钱包地址。

将这个庞大的数字联系起来:在地球上的77亿人口中,每个人都可以要求约1050个地址。捕获完全使用错字的地址的可能性非常低。 2017年11月,Chainalysis的一项研究估计丢失的比特币数量为2-4百万。由于键入错误而丢失的比特币会一再发生,因此投资者应仔细检查他们是否将钱转移到正确的地方。毕竟,如果发生错误的交易,没有中央管理机构可以解决。

钱包地址的模糊性导致另一个问题:黑客可以使用恶意软件来控制将目标地址发送到的地址。攻击者无需进行进一步验证即可安全地复制目标地址,以将硬币转移到由黑客控制的钱包中。如果您使用QR码进行传输,这将变得更加困难。毕竟,两个QR码之间的差异通常很难看清:

这对投资者意味着什么?您应该仔细检查目标地址是否实际上是您想要的地址。如果您照顾一台没有恶意软件的干净计算机,虽然将黑客入侵的风险降到了最低,但错别字也是致命的。

对比特币和公司很重要:地址是否值得信赖?

您还应该确切地问自己:这笔钱是否真的应该流向目的地?您完全可以相信股市吗?智能合约完全安全吗?当然,您不能仅回答这些问题,但您应该搜索社区的意见。

关于智能合约,存在一个关键问题,即每个投资者都应该问自己代码是否可见。如果不是这样,则对未知产品会有一些怀疑。为什么项目团队不能查看卡片? Etherscan列出了已验证源代码的合同。这也可能是一个很好的标准。另一方面,您应注意是否有类似“ xxx is yyy”的短语。此类代码段指示外部功能的使用。这些功能的来源也应相应检查。

—-

原文链接:https://www.btc-echo.de/bitcoin-aufbewahrung-sicher-teil-1-vorsicht-ist-besser-als-nachsicht/

原文作者:globalcryptopress

编译者/作者:wanbizu AI

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...