買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > Ethereum > Info

加密貨幣:觀點 | 硬件錢包的開源并不代表錢包升級,而是一次重大的安全妥協_LINU

Author:

Time:1900/1/1 0:00:00

來源:Medium_Cobo官博

編譯:頭等倉

編者注:原標題為《觀點:硬件錢包應該開源嗎?》

作為開源軟件的熱情倡導者,我們非常尊重那些將他們的工作分享給全世界的先驅開發者,毫無疑問,我們身處加密貨幣領域要感謝區塊鏈技術的創始人。正是因為中本聰和其他偉大的開拓者將他們的工作開源,我們才得以收獲Linux、比特幣和蓬勃發展的加密貨幣市場等令人驚嘆的創新所帶來的收益。

但是,當涉及到使源代碼可用對硬件錢包的安全性是否有利時,我們進入了一個全新的討論。本文解釋了我們為什么認為開放源代碼的本質并不代表硬件錢包的升級,而是一次重大的安全性妥協。

觀點:NFT市場應該促進“代表性不足的藝術家和藝術形式”:金色財經報道,Amberfi首席執行官JD Lasica表示,NFT市場應該促進“代表性不足的藝術家和藝術形式”,西方藝術繼續在NFT領域占據主導地位,并且通常被視為比其他文化的藝術更有價值和更有聲望,這可能會限制非西方藝術形式的可見度和認可度。相反,Web3可以消除文化之間的界限。[2023/3/18 13:11:50]

了解開源的好處

在傳統的計算領域中,開源支持者一直強調一個觀點——開源是更安全的,因為它使公眾能夠檢查源代碼并通過幫助修復潛在漏洞來提高安全性。Linus定律,通過統計數據清楚地顯示了:對閉源的Safari瀏覽器的零日攻擊平均需要9天才能修復,而對開源的Firefox瀏覽器的零日攻擊平均只需要1天就能修復。

觀點:目前處于牛市中期,BTC半年內或再漲5倍:知名分析師PlanB發推稱,盡管出現了土耳其禁令、美國稅收、Faketoshi訴訟,馬斯克關于比特幣環境損害的言論等不利事件,但比特幣比6個月前高出5倍;而且通過S2FX模型和鏈上數據表明,我們仍處于牛市的中期。 因此,在接下來的6個月內,BTC再漲至現在5倍的價格,我不會感到驚訝。[2021/5/14 22:04:10]

但是,必須在特定情境中理解Linus定律,即傳統的計算機領域。在討論開源軟件在硬件錢包方面的優勢時,我們必須謹記的事實是,與硬件錢包開發相比,傳統的計算機開發社區規模巨大。

GitHub是全球最大的源代碼托管者,它表明最大的硬件錢包品牌Trezor的開源代碼只有大約180個貢獻者。這一統計數據與RaspberryPi等其他硬件產品的社區形成了鮮明的對比,樹莓派的開源固件貢獻者大約有9500人。

觀點:即使以百倍價格,比特幣最高主義者亦不會賣出BTC:放射學家、個人比特幣礦工Brian Goss博士在推特上表示,比特幣社區的許多“toxic(有)”參與者不會出售他們的財富,即使是以“100倍”的價格(截至發稿時約為87萬美元)。他指出,所有這些以美元計算的收益都是偽鈔。因此,用比特幣去交換美元無論如何都是沒有意義的。認同這種BTC最高主義的“有人群”有很多,一般人根本意識不到這個社區有多大。

對此,Blockstream聯合創始人和首席執行官Adam Back用一個著名的模因,即黑客帝國里的“what-if-I-told-you”來支持這一說法。(U.Today)[2020/5/12]

無論項目多大,都無法完全避免暴露其代碼的潛在危險。以LinuxMint為例,它在2016年被黑客入侵。盡管該后門問題在一天內得到解決,但其快速響應時間在很大程度上是由于Linux開源社區的規模。

聲音 | 觀點:未來五年加密市值或將達10萬億美元 比特幣將漲至14-28萬美元:Albright Investment Group創始人Victor Dergunov在一篇文章中表示,未來幾年美國流通的貨幣總量有望翻一番,這將為大規模的比特幣和加密貨幣采用奠定基礎。他預計,美國將進入衰退期,推動美聯儲實施更為極端的“實際量化寬松”政策,到2025年將使美國的貨幣基礎從4萬億美元增加一倍至約8萬億美元。隨著通貨膨脹的加劇,Dergunov認為作為一種貨幣和價值存儲的加密貨幣的采用將蓬勃發展,整個加密貨幣市值將高達10萬億美元。Dergunov稱,現在加密貨幣市值只有大約2000億美元,未來將從目前的水平大約增加240% - 4900%。此外,比特幣市值占比目前約為66.5%。未來,即使比特幣的主導地位下降到50%,但其市值仍將增長至2.5至5萬億美元左右。這意味著比特幣的價格在未來5年將達到14萬至28萬美元。(The Daily Hodl)[2019/10/25]

在我們的開發社區相對較小的情況下,我們需要特別注意以下事實:共享源代碼是一把雙刃劍。不幸的是,對于硬件錢包而言,發布源代碼可使黑客更容易檢測到漏洞并進行攻擊。開源代碼甚至可以為網絡犯罪分子敞開大門,制造能夠欺騙消費者的假冒硬件錢包——Trezor已經成為其受害者。

紐約大學斯特恩商學院的教授阿斯瓦特·達莫達蘭(Aswath Damodaran)響應巴菲特觀點,認為比特幣和其他加密數字貨幣其實并不能夠被準確定價:日前,紐約大學斯特恩商學院的教授阿斯瓦特·達莫達蘭在接受CNBC采訪時,認為比特幣和其他加密數字貨幣其實并不能夠被準確定價,投機者可能僅僅為了以后以更高的價格賣給其他人。斯瓦特·達莫達蘭研究的領域就是企業財務和權益資本評估,早在1994年就被《商業周刊》評為美國商學院最好的12位教授之一。[2018/1/13]

零日攻擊的風險增加

安全硬件錢包所有者需要注意的一個安全問題就是零日攻擊。在零日攻擊中,從暴露或宣布先前未知的漏洞到修復漏洞之間的時間段為黑客提供了進行攻擊的絕佳機會。由于硬件錢包中的漏洞通常是通過固件升級來解決的,所以通常需要一段時間,在正式的安全補丁發布后,用戶才能真正安裝并修復問題。有些用戶在設置好硬件錢包后,幾個月甚至幾年都不打開它,這大大增加了零日攻擊的風險。對于具有開放源代碼軟件開發經驗的人來說,也許覺得有悖常理,黑盒子或帶有閉源代碼的設備比帶有開源代碼的白盒子更安全。

硬件錢包用戶在更新固件之前,無法免受零日攻擊。

心理安慰還是實際利益?

雖然我們很容易將比特幣作為開源代碼提供安全性的一個主要實例,但是假設所有區塊鏈項目都應效仿并成為開源代碼是一個合理的。比特幣從其開源開發社區獲得的安全性是其社區規模參與的直接結果。無論是源代碼還是挖礦能力,比特幣社區都參與了項目的維護和保護,涉及到很多的安全功能。然而,由于目前涉及硬件錢包安全性的開發人員相對較少,因此我們無法對共享源代碼帶來的好處做出任何假設。

除了大量增加檢查代碼的審閱者之外,傳統計算領域中開源代碼開發的另一個好處是,任何人都可以自己下載,安裝,刻錄,調試甚至刪除源代碼的某些方面。

這種程度的自治所帶來的安全性依賴于特定技術的基礎。然而,即使有堅實的技術基礎,安全措施仍有被超越的潛力。那些在計算機領域工作的人應該很熟悉KenThompsonHack(KTH)是如何在C編譯器中創建后門的,它可以監視或控制世界上任何軟件程序。您必須使用二進制代碼編寫自己的編譯器,或者使用在安裝KTH之前已編譯的工具,才能克服這種安全隱患。KTH證明,從源代碼編譯的任何系統總是容易受到攻擊。

像KenThompson這樣的專業人士告訴我們,除非您能夠自己編寫編譯器,否則您將不得不信任第三方。除了不得不編譯自己的編譯器之外,大多數硬件錢包用戶甚至都不會費力刻錄或調試源代碼。對于這一類用戶來說,知道他們的硬件錢包是開源的,更多的是一種心理安慰,而不是實際上可以使他們的錢包的安全性得到顯著改善。

二維碼簽名輸出的“可審查性”

在傳統的計算領域,它有助于將開源軟件帶來的安全性視為對源代碼的一種“審查”。雖然這種情況還不適用于冷庫加密貨幣安全,但有什么可以替代硬件錢包作為可靠的“審計”來源呢?

幸運的是,經過簽名的交易輸出并不像其他類型的軟件輸出那樣復雜。如果提供源代碼不是審計硬件錢包的最安全選擇,我們可以考慮仔細檢查其交易簽名輸出。

人們購買硬件錢包是因為他們知道存儲私鑰的最安全方法是將其離線放入冷存儲器中。所有硬件錢包服務都需要一種在離線存儲和在線終端之間進行通信的方式。冷端負責存儲私鑰和簽署交易,而熱端則需要從區塊鏈獲取數據,為冷庫端構建簽名交易并將簽名的交易廣播到區塊鏈

在傳輸簽名輸出時,大多數冷存儲硬件都使用數據線,藍牙甚至NFC。由于其數據傳輸的不透明性,這些方法使簽名輸出極難審核。冷庫硬件通信的一種被忽略的方法是二維碼,這是一種“所見即所得”的解決方案。我們認為二維碼是在冷端和熱端之間傳輸數據的理想方法,因為二維碼輸出的數據是透明的。這使用戶可以輕松地確保傳輸到冷存儲設備的每個未簽名交易都是有效的,并確保來自冷端的簽名輸出不會以任何方式泄露私鑰或敏感信息。

結論

我們認為開源對于增強硬件錢包的安全性沒有多大意義,只是開源可以使用戶能夠看到隨機數是由真隨機數生成器(TRNG)生成的,還是由偽隨機數生成器生成的。

轉載請保留版權信息。

Tags:比特幣加密貨幣INULINU比特幣最新價格美元k線今天加密貨幣為何暴跌Tiger Inu TokenBLINU價格

Ethereum
Chain:在區塊鏈的長河里找尋自己的坐標,玲聽2020跨年演講5大主題首度曝光_TNC

跟10年后相比,現在的我們就是一無所知。10年前,比特幣誕生,區塊鏈技術卻無人問津。10年過去,比特幣市值已經沖破1300億美金,區塊鏈技術的信徒們,試圖給整個信任世界帶來新的光芒與希望.

1900/1/1 0:00:00
RAC:“區塊鏈+保險”并非無往不利,兩大難題待解決_oracledata

來源:Medium 翻譯:頭等倉?? 分布式賬本技術被吹捧為會“顛覆”保險行業。其外部連接的自動執行數字協議高度安全,可以為保險行業節省數十億美元的成本和其他開銷,以及防止欺詐.

1900/1/1 0:00:00
OIN:眾享比特嚴挺:區塊鏈技術團隊沒有50人根本做不起來_ethylalcohol翻譯

來源:火星財經,本文有刪減 作者:成文厚 火星財經報道,由中關村科技園區管理委員會、中國信息協會指導.

1900/1/1 0:00:00
虛擬資產:央視再批區塊鏈詐騙:關閉大V、網紅微博,加大打擊力度_虛擬資產交易所

來源:火星財經 12月18日,央視新聞頻道再對打著“區塊鏈”旗號進行虛擬貨幣交易和詐騙的行為進行報道.

1900/1/1 0:00:00
ITA:區塊鏈周報 | 上周10起融資約2.5億美金;公鏈基金會錢包被黑客緊盯_2044 Nuclear Apocalypse

PA周刊第八十七期12.16-12.22文|周文怡編輯|畢彤彤Tong來源|?PANews概述:接近監管人士稱,凡為國內消費者提供非法交易通道.

1900/1/1 0:00:00
區塊鏈:重慶:明年將培育2-5個區塊鏈產業基地_人工智能

據重慶日報消息,12月14日,在南岸區政府、重慶經開區管委會、中國智谷科技園主辦,重慶軟件園承辦的數字經濟與區塊鏈技術應用研討會上,多名區塊鏈產業企業人士及專家圍繞區塊鏈相關問題進行探討交流.

1900/1/1 0:00:00
ads