本文Hash (SHA1):05a781b25abc366c97599482bec90e2314d10a2e346db9fc2c29f9acd07fcb1c
編號: 鏈源科技PandaLY Security Knowledge No.051
經歷了11月,BTC持續創下新高,solana的meme幣橫掃加密市場,當牛市來臨時,鏈上的項目、空投、打土狗層出不窮,想要參與其中需要從交易所中將資產提到鏈上,非常重要的是,交易所中的資產只是資料庫中的字段,和鏈上沒有任何關係,由交易所來背書資產安全,當資產提現到真正的web3錢包後,資產將不會收到任何監管,必須由自己全權負責鏈上的資產安全。
所以您的錢包越來越值錢,被駭客關注機率就會越來越高,而種類繁多的錢包該如何選擇,在牛市中如何保護您的鏈上資產不被侵犯,變成至關重要的問題。
錢包類型:
市面上錢包的種類眼花撩亂,本質上講錢包分為2類:
- 熱錢包(軟體錢包)
熱錢包是一種始終與互聯網連接的加密錢包,它可以是基於網絡、移動設備或電腦桌面的應用程序,熱錢包為您存儲私鑰,用戶通過錢包界面授權和執行交易。
例如我們常見的metamask為代表的插件錢包、okx web3錢包為代表的交易所熱錢包、節點錢包、智慧合約錢包、多簽錢包、紙錢包。
- 冷錢包(硬體錢包)
冷錢包是一種不與網路產生互動的加密錢包,私鑰儲存在硬體中,用戶在需要簽名的時候,透過連結電腦的方式,把訊息傳遞給硬體錢包,拿到簽名後的資料。
例如以Ledger冷錢包、OneKey冷錢包。
錢包的優缺點:
插件錢包:
插件錢包作為我們最常用的錢包,同時也是風險最大的錢包。
插件錢包以方便快速聞名,在任何專案中只需要利用wallet connect就可以連接簽名,無論是參與空投、質押、理財,都是最方便的選擇。
但wallet connect是雙面刃,當我們頻繁進行操作時,可能會忽略其授權內容,大部分時候都是一掃而過,往往會釀成大錯。
插件錢包也非常容易被監控,插件錢包在導入或產生私鑰的過程中,會被植入的病毒監聽到,從而輕易的在貼上或螢幕中拿到您的私鑰。
開放商的不可信任也是一個重要問題,雖然大部分插件錢包的程式碼是開源的,但是沒有辦法徹底排除開發商留有後門的可能,或者凍結帳戶的可能。
交易所web3錢包:
交易所中的錢包將會進一步提高安全性,一是由於它的應用場景在於手機端,所以排除了wallet connect的風險。您將不會因為輕易的點擊某些網站而失去金鑰。其次大多數交易所在您即將進行的簽名中,會有充分的風險提示,來盡可能的避免損失。
雖然交易所中的web3錢包對比外掛錢包有優勢,但還是面臨私鑰管理問題。
例如您的手機不能輕易外借給別人、例如您的手機如果遺失,也要做好私鑰遺失的準備、甚至您在手機中的Icloud、Google cloud帳號也不能輕易示人,因為很多App錢包會將私鑰備份在雲端。
冷錢包:
冷錢包透過硬體隔離私鑰,在硬體中完成簽章的模式,做到完全的私鑰安全,簽章安全。
對比熱錢包,冷錢包的優勢顯而易見,不用再擔心網路攻擊的問題,也不用再擔心私鑰遺失問題。
冷錢包看似完美,但是也有缺陷,冷錢包不具有便捷性,冷錢包往往是一個U盤或移動硬碟大小的東西,非常不方便攜帶和轉移,如果有臨時性的工作它可能無法完成。
同樣,冷錢包因為體積問題,一樣很容易丟失,如果丟失,就意味著肯定找不到了,硬體錢包是沒有任何備份的。
多簽錢包:
多簽錢包普遍指的是需要多個金鑰授權才能進行簽名,大體分為兩種,一種為鏈下的解決方案,一種為鏈上解決方案,還有一些鍊是原生支援多簽帳戶的,例如TRON和BTC
鏈上的多簽方案普遍利用智能合約錢包也叫AA錢包,顧名思義,在鏈上通過智能合約來實現鏈上多籤的一種錢包,在智能合約內部來規定哪些EOA帳戶或者合約帳戶可以作為控制AA錢包的一分子,也是n of m模式。
優點是解決了單點故障問題,不再由單一私鑰來控制這個錢包,而且程式以智能合約的形式在鏈上,具有公開性、穩定性、不可篡改性,但是缺點也恰恰也是因為在鏈上,進行交易時會大幅提高交易的手續費,將是普通EOA帳戶的10倍。
鏈下的多簽錢包普遍利用密碼學的方案來對私鑰進行分片處理,也就是MPC(Secure Multi-Party Computation)錢包,MPC方案可以消除私鑰,不再為管理私鑰而煩惱,主要透過兩個具體方案來實現。
MPC-SSS
SSS(Shamir's secret sharing)透過將私鑰切分為n of m,一共有m片,其中有n片就可以完成簽名,成功避免了單點故障,只要丟失不超過n片,這個帳戶依然可以簽名,而SSS方案兼顧了輕巧快速的特點,例如OKX的web3錢包中MPC錢包用的就是SSS方案。
但SSS模式還有一個較致命的缺點,在簽章時我們需要一個地方來重組私鑰,這個地方或伺服器是重大風險點,必須確保安全。
MPC-TSS
TSS( Threshold Signature Scheme )在SSS的基礎上成功解決了SSS模式中的缺陷,真正實現了分散式生成金鑰、分散式簽章。
同樣的分散式簽章會帶來大量的運算壓力,簽章速度和對硬體的要求非常高,在行動端進行簽章變得非常吃力。
比較知名的錢包有Zengo、Fireblocks、Coinbase。
結語
無論什麼錢包都有自己的優勢和缺點,最重要的是要認識每種錢包的主要作用,並且認識自己對錢包的需求是什麼。
插件錢包的作用更多是放入少量的錢,來參與一些短平快的項目,作為區塊鏈中的最前沿陣地。
交易所錢包的作用是更方便的進行swap、質押等,安全性也會更高,作為區塊鏈的重要中繼站。
冷錢包和多簽錢包更多的是來確保資金的安全,非常適合大資金的存儲,作為區塊鏈中最後方的指揮所。
幣圈賺錢一時爽,錢包被偷走火葬場,資金安全的問題,只好列為所有作業的重中之重。