硬件钱包不脆弱
2018年6月8日,和数硬件钱包新品发布会在上海举办。会上,正如媒体之前报道的一样,记者在和数软件负责人处了解到和数硬件钱包核心功能只有两个字—-安全。和数软件相关项目负责人说:“我们的固件总是被签名的,所以这个设备永远不会运行不受信任的代码。现在使用硬件钱包比以前更重要了。”
业内人士强调,在这一特定时期,用户应该依靠硬件钱包,因为来自互联网幽灵的攻击已经极大地影响了许多加密货币交易和钱包平台运营的云服务。早些时候,由于在英特尔cpu中发现的漏洞,包括Bittrex在内的几家加密货币交易所被迫关闭。这些漏洞影响了微软提供的Azure云服务,并扩展了Azure上的交换。《纽约时报》网络安全记者Nicole Perlroth写道:“融化和幽灵显示攻击者可能利用这些设计缺陷来访问机器的整个内存内容。最本能的攻击方案是一个攻击者,他从Amazon或谷歌或微软云服务器上租用5分钟的时间,从其他客户那里窃取数据,那些用户也租用同一云服务器上的空间。”
保管资金
和数硬件钱包的开发者和比特币专家建议用户尽量将他们的资金从集中的在线平台转移到硬件钱包。
在国外,比特币核心开发商Jonas Schnelli表示:“当前的特权内存端通道攻击正好证实了许多比特币用户已经知道的信息。不要相信你的电脑。不要认为应用程序(和私钥)是隐蔽的。个人建议使用硬件的钱包。”
与交易所不同的是,硬件钱包是一个非保管人的钱包,允许用户对其私钥保持完全控制。当用户初始化他们的硬件钱包时,他们会写下12 – 24个单词,这些单词组成了备份。有了这种备份,即使钱包平台被黑客攻击,用户也可以获得他们的资金,并将其转移到另一个钱包或纸质钱包中。但是集中的交易平台只是平台代表用户存储私钥。其结果是私有密钥的集中,从而产生了一个重要的安全问题。
物理隔绝永不触网
国外互联网技术分类开发团队发布了一篇详细的博客文章,解释了为什么硬件加密钱包不会因为Intel、AMD和ARM的CPU漏洞而面临风险。该公司写道:“Ledger、库神、和数软件等硬件钱包设备均不受这些攻击的影响。首先,要利用这些缺陷,攻击者必须能够运行任意代码。只要你只使用硬件钱包的嵌入式应用(这是强烈推荐的),你的硬件钱包就不容易受到这些攻击。最重要的是,因为任何现代机器都受到病毒、漏洞的影响,所以硬件钱包能做到私钥种子层层加密 物理隔绝永不触网是明智的。”
