この記事のハッシュ (SHA1):05a781b25abc366c97599482bec90e2314d10a2e346db9fc2c29f9acd07fcb1c
No.:PandaLYセキュリティナレッジ No.051
11月以降、BTCは新高値を更新し続け、ソラナのミーム通貨が仮想通貨市場を席巻したとき、チェーン上にはプロジェクト、エアドロップ、いじめの無限の流れがありました。参加したい場合は、参加する必要があります。取引所から資産をチェーンに持ち込むことは非常に重要です。 、取引所内の資産はデータベース内の単なるフィールドであり、チェーンとは何の関係もありません。資産が実際の Web3 ウォレットに引き出されるとき、資産はいかなる監視も受けません。チェーン上の資産のセキュリティについてはすべて自分で管理する必要があります。
したがって、ウォレットの価値が高まるにつれて、ハッカーに気づかれる可能性がますます高くなり、さまざまなウォレットの中からどのように選択するか、強気市場での侵害からオンチェーン資産を保護する方法が重要になります。重要な問題。
財布の種類:
市場に出回っている財布の種類は多岐にわたります。基本的に、財布は次の 2 つのカテゴリに分類されます。
- ホットウォレット(ソフトウェアウォレット)
ホット ウォレットは、インターネットに常に接続されている暗号化ウォレットであり、Web ベース、モバイル デバイス、またはコンピューターのデスクトップ アプリケーションであり、ユーザーはウォレットを通じてトランザクションを承認および実行します。インタフェース。
たとえば、メタマスクに代表される一般的なプラグイン ウォレット、okx web3 ウォレットに代表される交換ホット ウォレット、ノード ウォレット、スマート コントラクト ウォレット、マルチシグネチャ ウォレット、ペーパー ウォレットなどです。
- コールドウォレット(ハードウェアウォレット)
コールド ウォレットは、インターネットと対話しない暗号化されたウォレットであり、秘密キーはハードウェアに保存され、ユーザーが署名する必要がある場合は、コンピューターに接続してメッセージをハードウェア ウォレットに転送し、署名されたメッセージを取得します。データ。
たとえば、Ledger コールド ウォレットや OneKey コールド ウォレットなどです。
ウォレットの長所と短所:
プラグインウォレット:
プラグインウォレットは私たちが最もよく使用するウォレットですが、最もリスクの高いウォレットでもあります。
プラグインウォレットは、その利便性とスピードで有名で、エアドロップ、ステーキング、または財務管理に参加する場合でも、ウォレット接続を使用するだけで署名を接続できます。
しかし、ウォレットコネクトは諸刃の剣であり、頻繁に操作すると、その承認内容を無視してしまうことが多く、大きな間違いにつながることがよくあります。
プラグイン ウォレットは、秘密キーのインポートまたは生成のプロセス中に、埋め込まれたウイルスによって監視され、ペーストボードまたは画面上で秘密キーを簡単に取得できます。
開発者の信頼性が低いことも重要な問題です。ほとんどのプラグイン ウォレット コードはオープンソースですが、開発者がバックドアから離れたり、アカウントを凍結したりする可能性を完全に排除する方法はありません。
Exchange Web3 ウォレット:
取引所のウォレットによりセキュリティがさらに向上します。まず、そのアプリケーション シナリオは携帯電話上にあるため、ウォレット接続のリスクが排除されます。特定の Web サイトをクリックするだけではキーを失うことはありません。第二に、ほとんどの取引所では、損失をできる限り回避するために、今後の署名に十分なリスク警告が含まれます。
取引所の Web3 ウォレットにはプラグイン ウォレットよりも利点がありますが、依然として秘密鍵管理の問題に直面しています。
たとえば、携帯電話を他人に簡単に貸すことはできません。たとえば、携帯電話を紛失した場合、携帯電話上の Icloud アカウントや Google クラウド アカウントさえも簡単に紛失することを覚悟しなければなりません。多くのアプリウォレットの秘密鍵はクラウドにバックアップされるため、他のユーザーに公開できません。
コールドウォレット:
コールド ウォレットは、ハードウェアを介して秘密キーを分離し、ハードウェアで署名モードを完了して、完全な秘密キーのセキュリティと署名のセキュリティを実現します。
ホットウォレットと比較すると、コールドウォレットの利点は明らかです。ネットワーク攻撃や秘密鍵の紛失を心配する必要がありません。
コールドウォレットは完璧に見えますが、欠点もあります。多くの場合、コールドウォレットは USB フラッシュ ドライブやモバイル ハード ドライブほどの大きさなので、一時的な作業がある場合には非常に不便です。完了しない可能性があります。
同様に、コールドウォレットはサイズが大きいため紛失しやすく、ハードウェアウォレットにはバックアップが存在しないことになります。
マルチシグネチャウォレット:
マルチシグネチャウォレットとは、一般的に署名を実行するために複数の鍵認証が必要なことを指します。それらは大きく 2 つのタイプに分けられ、1 つはオフチェーン ソリューション、もう 1 つはオンチェーン ソリューションです。一部のチェーンはマルチシグネチャをネイティブにサポートしています。 TRONやBTCなどのアカウント。
チェーン上のマルチシグネチャ ソリューションは通常、AA ウォレットとも呼ばれるスマート コントラクト ウォレットを使用します。その名前が示すように、スマート コントラクト内でどの EOA アカウントが指定されるかが指定されます。または契約アカウントをコントロールとして使用でき、AA ウォレットの一部であり、n of m モデルでもあります。
利点は、単一障害点の問題が解決され、ウォレットが単一の秘密鍵によって制御されなくなり、プログラムがスマート コントラクトの形式でチェーン上に置かれることです。これは、オープンで安定しており、非同期です。ただし、チェーン上にあるからこそ、取引手数料が通常のEOA口座の10倍と大幅に増加するというデメリットもあります。
オフチェーンのマルチ署名ウォレットは通常、暗号化ソリューションを使用して秘密鍵をシャードします。つまり、MPC (Secure Multi-Party Computation) ウォレットは、主に秘密鍵の管理を心配する必要がなくなります。 2 つの具体的な解決策。
MPC-SSS
SSS (Shamir の秘密共有) は、秘密鍵を m 個の個に分割することで、単一障害点をうまく回避します。n 個を超えない限り、署名を完了するために使用できるのは n 個だけです。たとえば、OKX の Web3 ウォレットの MPC ウォレットは、SSS ソリューションを使用しています。
ただし、SSS モードには致命的な欠点もあります。署名時に秘密キーを再構成する場所が必要です。この場所またはサーバーは安全でなければなりません。
MPC-TSS
TSS (Threshold Signature Scheme) は、SSS に基づいて SSS モードの欠陥を解決し、分散鍵生成と分散署名を真に実現します。
同じ分散署名は多くの計算負荷をもたらし、署名速度とハードウェア要件が非常に高いため、モバイル端末での署名が非常に困難になります。
よりよく知られているウォレットには、Zengo、Fireblocks、Coinbase などがあります。
結論
どのような種類のウォレットにもそれぞれ長所と短所がありますが、最も重要なことは、各ウォレットの主な機能を理解し、ウォレットに何が必要かを理解することです。
プラグインウォレットの機能は、ブロックチェーンの最前線として、短期かつ迅速なプロジェクトに参加するために少額の資金を投入することです。
取引所ウォレットの機能は、スワップやプレッジなどをより便利にすることであり、ブロックチェーンの重要な中継点として機能します。
コールド ウォレットとマルチシグネチャ ウォレットは資金の安全性を確保することに重点が置かれており、ブロックチェーンの最終司令部として機能する大規模な資金の保管に非常に適しています。
通貨サークルでお金を稼ぐのは一時的には楽しいですが、財布が盗まれたり火葬されたりすることがあります。資金の安全性の問題はすべての業務の最優先事項として挙げられなければなりません。
