本文Hash (SHA1):05a781b25abc366c97599482bec90e2314d10a2e346db9fc2c29f9acd07fcb1c
编号: 链源科技PandaLY Security Knowledge No.051
经历了11月,BTC持续创下新高,solana的meme币横扫加密市场,当牛市来临时,链上的项目、空投、打土狗层出不穷,想要参与其中需要从交易所中将资产提到链上,非常重要的是,交易所中的资产仅仅是数据库中的字段,和链上没有任何关系,由交易所来背书资产安全,当资产提现到真正的web3钱包后,资产将不会收到任何监管,必须由自己全权负责链上的资产安全。
所以您的钱包越来越值钱,被黑客关注概率就会越来越高,而种类繁多的钱包该如何选择,在牛市中如何保护您的链上资产不被侵犯,变成至关重要的问题。
钱包类型:
市场上钱包的种类眼花缭乱,从本质上讲钱包分为2类:
- 热钱包(软件钱包)
热钱包是一种始终与互联网连接的加密钱包,它可以是基于网络、移动设备或电脑桌面的应用程序,热钱包为您存储私钥,用户通过钱包界面授权和执行交易。
比如我们常见的metamask为代表的插件钱包、okx web3钱包为代表的交易所热钱包、节点钱包、智能合约钱包、多签钱包、纸钱包。
- 冷钱包(硬件钱包)
冷钱包是一种不与互联网产生交互的加密钱包,私钥存储在硬件中,用户在需要签名的时候,通过链接电脑的方式,把消息传递给硬件钱包,拿到签名后的数据。
比如以Ledger冷钱包、OneKey冷钱包。
钱包的优缺点:
插件钱包:
插件钱包作为我们最常用的钱包,同时也是风险最大的钱包。
插件钱包以方便快捷闻名,在任何项目中只需要利用wallet connect就可以连接签名,无论是参与空投、质押、理财,都是最方便的选择。
但wallet connect是双刃剑,当我们频繁进行操作时,可能会忽略其授权内容,大部分时候都是一扫而过,往往会酿成大错。
插件钱包也非常容易被监控,插件钱包在导入或者生成私钥的过程中,会被植入的病毒监听到,从而轻易的在粘贴板或者屏幕中拿到您的私钥。
开放商的不可信任也是重要问题,虽然大部分插件钱包的代码是开源的,但是没有办法彻底排除开发商留有后门的可能,或者冻结账户的可能。
交易所web3钱包:
交易所中的钱包将会进一步提高安全性,一是由于它的应用场景在于手机端,所以排除了wallet connect的风险。您将不会因为轻易的点击某些网站而失去密钥。其次大多数交易所在您即将进行的签名中,会有充分的风险提示,来尽可能的避免损失。
虽然交易所中的web3钱包对比插件钱包有优势,但还是面临私钥管理问题。
比如您的手机不能轻易外借给别人、比如您的手机如果丢失,也要做好私钥丢失的准备、甚至您在手机中的Icloud、Google cloud账户也不能轻易示人,因为很多App钱包会将私钥备份在云中。
冷钱包:
冷钱包通过硬件隔离私钥,在硬件中完成签名的模式,做到完全的私钥安全,签名安全。
对比热钱包,冷钱包的优势显而易见,不用再担心网络攻击的问题,也不用再担心私钥丢失问题。
冷钱包看似完美,但是也有缺陷,冷钱包不具有便捷性,冷钱包往往是一个U盘或者移动硬盘大小的东西,非常不方便携带和转移,如果有临时性的工作它可能无法完成。
同样,冷钱包因为体积问题,一样很容易丢失,如果丢失,就意味着肯定找不到了,硬件钱包是没有任何备份的。
多签钱包:
多签钱包普遍指的是需要多个密钥授权才能进行签名,大体分为两种,一种为链下的解决方案,一种为链上解决方案,还有一些链是原生支持多签账户的,比如TRON和BTC
链上的多签方案普遍利用智能合约钱包也叫AA钱包,顾名思义,在链上通过智能合约来实现链上多签的一种钱包,在智能合约内部来规定哪些EOA账户或者合约账户可以作为控制AA钱包的一分子,也是n of m模式。
优点是解决了单点故障问题,不再由单个私钥来控制这个钱包,而且程序以智能合约的形式在链上,具有公开性、稳定性、不可篡改性,但是缺点也恰恰也是因为在链上,进行交易时会大大提高交易的手续费,将是普通EOA账户的10倍。
链下的多签钱包普遍利用密码学的方案来对私钥进行分片处理,也就是MPC(Secure Multi-Party Computation)钱包,MPC方案可以消除私钥,不再为管理私钥而烦恼,主要通过两个具体方案来实现。
-
MPC-SSS
SSS(Shamir's secret sharing)通过将私钥切分为n of m,一共有m片,其中有n片就可以完成签名,成功避免了单点故障,只要丢失不超过n片,这个账户依然可以签名,并且SSS方案兼顾了轻便快捷的特点,比如OKX的web3钱包中MPC钱包用的就是SSS方案。
但是SSS模式还有一个较为致命的缺点,在签名时我们需要一个地方来重组私钥,这个地方或者服务器是重大风险点,必须要保证安全。
-
MPC-TSS
TSS( Threshold Signature Scheme )在SSS的基础上成功解决了SSS模式中的缺陷,真正实现了分布式生成密钥、分布式签名。
同样的分布式签名会带来大量的计算压力,签名速度和对硬件的要求非常高,在移动端进行签名变得非常吃力。
比较知名的钱包有Zengo、Fireblocks、Coinbase。
结语
无论什么钱包都有自己的优势和缺点,最重要的是要认识每一种钱包的主要作用,并且认识自己对钱包的需求是什么。
插件钱包的作用更多是放入少量的钱,来参与一些短平快的项目,作为区块链中的最前沿阵地。
交易所钱包的作用是更方便的进行swap、质押等,安全性也会更高,作为区块链的重要中转站。
冷钱包和多签钱包更多的是来保证资金的安全,非常适合大资金的存储,作为区块链中最后方的指挥所。
币圈赚钱一时爽,钱包被盗火葬场,资金安全的问题,不得不列为所有操作的重中之重。
