主页 > imtoken官方安卓下载 > 保护你的区块链财产安全——区块链技术的主要挑战(四)
保护你的区块链财产安全——区块链技术的主要挑战(四)
先废话
Frank和老董已经在全速准备高质量的智能合约编程教程了! 相信通过这么多集的内容,大家对干货店的技术水平也有了一点了解,也希望大家觉得老董没有作弊。 为严格保证课程质量,我们第一期只限制50-100名学员参与,共七期,每期至少一小时的视频课程时间,希望快速迭代课程内容通过您的反馈逐步扩大规模。 课程大概会在8月中下旬开课。
很多朋友都在问我课程的价格。 如果你真的想参加课程,可以给我留言,说说你对课程的建议和期望。 顺便说明一下你能接受的价格。 我会优先考虑那些表示愿意的人。 朋友预留位置。
另外,老董现在正在为粉丝招聘一名文字和格式编辑,主要负责文字校对和文章排版,薪资面议。
干货分割线
财产安全,我们在保护什么?
比特币等电子货币通过区块链技术实现货币的区块链化。 所谓区块化或“去中心化”,就是每个人都可以持有一个或多个属于自己的“账户”。 比特币用户可以在不依赖链下信托机构的情况下相互转账。 每个账户都是一个“公私钥对”(不了解公私钥体系的可以看看)。
为了形象起见,我列一个公私钥对(基于椭圆曲线加密的公私钥):
公钥:
0xDA63A67735d5e26B89c4a848C449bFa247DE6bA4
私钥:
0x15865102422c2bdea53f8a57b11a6f93afcd3df98322ee0583129aaf8c091af3
大家都认为“公钥”、“私钥”、“椭圆加密”很高级,经常被一些产品厂商用来忽悠人。 看上面那一堆东西用U盘做比特币冷钱包教程,其实是两串数字。 虽然背后的数学很优美,但是对于普通人来说,私钥其实可以看做是“一串超长密码”,而公钥就是你的公链账号。 简单来说,在区块链货币中,谁控制了私钥,谁就控制了该私钥对应账户中的所有资产(不仅仅是代币)。
不用说,私钥的安全性是极其重要的。 在区块链币种场景下,谁拿到了你的私钥,就等于拿到了你所有的币种。 不仅如此,随着智能合约的飞速发展,获得你的私钥就相当于获得了你的“身份”。 我给你画个饼:在不久的将来,你的病历、房产记录,甚至公司的决策投票权,都将与你的私钥绑定。 饼越大,你的私钥就会在区块链上定义“你”这个人。 如果您的私钥被获取,您的关键信息和权益将受到严重侵犯。 这就是为什么老董说私钥控制你的资产而不是纯金钱。
如何保护您的私钥安全
方式一:私钥加密
可靠性:
这种方法是一种流行的公私钥存储方法。 简单的说,就是给你的私钥加上一层密码(在密码上面加上密码),防止私钥在你的电脑上裸奔。 你为什么这样做? 就是因为为了保证私钥的安全,私钥确实需要这么长的一串数字,而我们要记住那一串数字实在是太难了。 但是光裸着放在电脑上,任何黑进电脑的人都可以毫不费力的拿到你的私钥,这显然是不安全的。 所以呢? 只需用一个你平时能记住的密码(比如“woaixiaohua1997”)对私钥加密一次即可。 每次你想用你的私钥签名时用U盘做比特币冷钱包教程,输入密码临时解密你的私钥进行数字签名。 几乎所有的“钱包”类软件都采用这种保护方式。 比如Metamask、Mist、myetherwallet等(见下图)。
不幸的是,这种方法极其不可靠。 举个今天刚发生的例子:
虽然私钥是加密的,但是存放私钥的电脑或者手机仍然是联网的。 在网络安全从业者老董看来,任何联网的设备都会被黑。 说得形象点,黑客可以开发出病毒,如下图所示:
当你进行转账签名时,在你输入密码保护你的私钥的那一刻,私钥的明文会短暂地出现在你的记忆中。 这种偷偷观察的病毒可以快速“拦截”这个Instant私钥明文(像metamask这样的钱包,一次解锁可能需要很长时间,更容易被拦截)。 或者更简单的方法是记录您的击键并从中分析您的解锁密码。 就这样,你的私钥被这只偷窥小猫偷走了,然后就没有了。
综上所述,老董强烈不建议使用简单的钱包软件存储大量区块链资产。
方式二:多重签名钱包
可靠性:
所谓多重签名钱包,其实是对一类智能合约程序的统称。 简单来说,相当于你的保险箱里有多把钥匙,需要多把私钥同时插入锁中,或者最多(比如三把两把)才能完全解锁钱包里的资产. 每个私钥当然也被加密存储。 多重签名钱包的正确使用方法是:每一个私钥都是在不同的电脑上生成的,这些电脑是完全独立的,属于不同的人(比如你和你老婆)。 虽然这些完全独立的(假设的)计算机同时被黑客攻击并非不可能,但随着签名数量的增加,安全性也呈指数级增长。
不过这个钱包最让人痛心的是,很不方便(当然女生可以有ORZ来监督老公的开支)。 虽然单密钥每日提现限额等功能有多种灵活实现方式,但仍存在诸多不便之处,如对ERC20的支持不佳(无法参与ICO“赚大钱”)。 还有一点,智能合约平台实现的多重签名钱包,免费开源的多重签名钱包,可能存在漏洞(),一不小心,又会变穷。
虽然理论上不错,但是综合可用性,老董只建议在多重签名钱包中存放中等数量的资产,每个私钥的管理尽量独立。
方式三:硬件冷钱包
可靠性:
所谓硬件冷钱包,就是将私钥与网络完全隔离。 给你一个形象的例子:
钱包的私钥完全保存在U盘一样的黑色东西里,根本不存在电脑上。 这个黑色的U盘模拟是一个硬件钱包。 硬件钱包是一台逻辑非常简单的“计算机”,但由于其逻辑极其简单,黑客无法从网络入侵。
硬件钱包的使用方法极其简单方便:当需要对转账消息进行签名时,电脑会要求用户在电脑上输入硬件钱包中加密保存的私钥的解锁密码,然后将未签名的转账信息和密码一起发送到硬件钱包。 收到密码和转账消息的硬件钱包尝试用密码解开私钥。 如果解锁成功,会向用户确认转账是否准确(防止虚假转账信息被签名)。 经用户反复确认后,在转账信息上签名,并发回电脑。 ,计算机将消息广播到区块链网络。
在整个过程中,私钥的明文绝不会暴露给电脑,所以即使电脑被黑客黑进筛子,也无法有效窃取用户的私钥。 即使冷钱包不小心丢失了,里面的私钥还是有密码保护的,暂时风险不是特别高。
在冷钱包的使用过程中,唯一需要保护的就是“恢复短语”。 所谓助记词就是一组12到15个单词。 首次使用时,冷钱包会向用户显示一次这些短语,并使用此短语生成内部私钥。 如果这组词组被盗,就相当于私钥被盗了。 保护这组词组的正确方法应该是,将这组词组用手抄在一张纸上,然后存放在银行的私人保险箱里。
冷钱包是目前介绍的三种方式中最安全、最便捷的资金存储方式。 老导演推荐这种方法可以节省大量资金,但请注意妥善保存助记词。
最大的挑战在哪里?
嘿? 为什么没有五星法门? 感觉硬件冷钱包很好的解决了私钥安全问题! “大挑战”呢? 老董在胡闹?
不不不,大挑战来了。
不知道大家有没有注意到,之前讨论的安全话题都是围绕“如何防止黑客远程窃取私钥”的问题。 那么现在,老董就介绍一个密码学无法解决的问题:
“砖头问题”
要想明白什么是砖头问题,就让老董讲一个两个亿万富翁被抢劫的寓言吧。
首先,老董要提醒大家,抢劫是触犯刑法的,是重罪。 在这里,老董只是举两个假设的例子来讨论技术。
先说富婆小花。 她的10亿身家是传统货币,全部存在银行里。 平时,她只需要刷一张限额100万的信用卡就可以消费了。 如果有人想要绑架勒索小花,仔细想想,这其实是一件很难的事情。 这件事的难点不在于把小花绑起来关在小黑屋里容易,关键在于钱怎么弄到手。 港片看多的人都知道,这件事要做,必须发勒索信,警察多半会知道,然后劫匪就需要各种技术活:改现金交易地点,躲避警察跟踪,躲避监控摄像头,大量现金如何运输,赃物如何变卖,甚至还要准备好武器装备,随时准备枪战。 简单来说,这件事的成本和风险都非常大。
再说张富豪,他的10亿身家就是ETH币,他听从了老董的建议,把这些ETH都存进了冷钱包,还有一部分锁在了银行金库里,但是因为老张平时做生意,需要很大的流动性,所以随身携带一个价值100万的冷钱包。 我们突然发现,抢老张比抢小华容易多了。 你只要在工地捡一块砖头,就敲老张的脑袋,直到老张交出随身携带的冷钱包的解锁码,才保住了性命。 不用联系银行,不用准备运钞车,不用发勒索信,更不用像香港黑帮电影那样准备大量枪支弹药。 没有998,没有698,只是一块砖,朋友们! !
相信看完这两个例子,你就会明白什么是“搬砖问题”:区块链资产,由于其固有的去中心化特性,维护财产安全的重担也由中心化实体(如重型金库)银行承担。门),转移给财产的所有者(您)。
那么如果每个人都把自己的私钥放在银行保险箱里呢? 那么每次取款、转账,是不是都要去银行保险柜取出私钥,签名,再放回保险柜? 这显然是极其低效的。
让一个集中的实体托管你的私钥怎么样? 这不是与分散的财产管理和控制背道而驰吗?
那么如何克服实体问题,找到五星级的财产安全解决方案呢? 老董虽然没钱,但这个有趣的问题他想了很久。 如果大家有兴趣了解老董的想法,欢迎留言。 老董就用一篇文章来介绍一下吧!
最后再说两句:要不要把币上交易所?
如果你是一个纯粹的新手,并且非常确信自己不能很好地管理自己的私钥,那么交易所未必是一个糟糕的选择。 其实就是说你在危险和超级危险之间做选择,那么还是选择危险。
但是如果你看过老董的文章,老董的建议是:
不想!
不想! !
不想! ! !
不想! ! ! !
不想! ! ! ! !
不想! ! ! ! ! !
不! ! ! ! ! !
老董怎么这么亲切的叫了一声? 由于交易所被黑而导致资金被盗的情况太常见了。给你一个小年表
2016年
八月
Bitfinex(交易所)
用户钱包/内部工作
119,756
66,000,000 美元
2016 年 5 月
门币(交易所)
热钱包
多币种
2,000,000 美元
2016年3月
ShapeShift(交换)
内部工作
多币种
230,000 美元
2016年1月
比特戳(交换)
热钱包
18,866人
5,263,614 美元
2015年2月
Bter(交换)
冷钱包/内部工作
7,000
1,750,000 美元
2015年2月
Exco.in(交易所)
冷钱包/内部工作
不适用
不适用
2015年2月
基普币(交易所)
冷钱包/内部工作
3,000
690,000 美元
2015年2月
796(交换)
冷钱包/内部工作
1,000
230,000 美元
2015年1月
比特戳(交换)
热钱包
19,000
5,100,000 美元
2015年1月
Cavirtex(交换)
用户数据库被盗
不适用
不适用
2014年12月
薄荷宝(交换)
内部工作
3,700
3,208,412 美元
2014 年 8 月
Cryptsy(交换)
内部工作
多币种
6,000,000 美元
2014年3月
CryptoRush(交易所)
冷钱包/内部工作
950
782,641 美元
2014
Mt.gox(交易所)
冷热钱包/内部工作
850,000
700,258,171 美元
2013年11月
PicoStocks(交易所)
冷钱包/内部工作
6,000
6,009,397 美元
它是如此广阔,不是吗? 此外,非常大和成熟的交易所将被黑客攻击。 刚入坑的朋友一定要听听老董的建议:除了即将交易的区块链资产,最好避免在交易所保留任何自己的加密货币资产。 这绝对不是管理您自己的私钥的好替代品。 一旦你使用的交易所被黑客攻击,你的财产就会消失,尤其是现在是区块链资产的狂野时期。 如果您的资产在交易所被盗,交易所完全免责。
不知不觉,财产安全说了这么多,下期再讲区块链的隐私技术挑战,所以大结局要延期一段时间。 希望大家继续点赞,继续转发,继续“追剧”~
