#硬件钱包

avatar
有一类钱包被盗是因为其私钥/助记词早就因为某些原因被采集走了,某些人利用某些便利机会在这些“大数据”里捞鱼...私钥或助记词都有很成熟的解析方式,哪怕是图片保存的...这种产业链很成熟,但要知道真的泄露源头挺难的。 比如剪切板劫持是一种常见手法,还有第三方 App 作恶,采集相册里的助记词截图,更别提供应链攻击、假 App 等。甚至许多刚开始并不是针对币圈的攻击... 许多钓鱼,通过链上分析很容易推出其手法。但是私钥泄露许多时候不容易分析出其具体手法,尤其是电脑本地环境,太乱太复杂,有的作恶后直接就升级替换成正常的了。 一旦意识到自己的私钥/助记词泄露了,除非你知道具体原因,否则都应该重整一遍,做到你的环境你有把握这种地步。 最后我还是会推荐硬件钱包的组合使用模式,比如 OneKey/Keystone 搭配 Rabby/OKX Wallet/MetaMask,imKey 搭配 imToken,KeyPal 搭配 TokenPocket 是我的组合,也即硬件钱包+软件钱包模式,我确保的是至少私钥/助记词永远不触网,剩下的就是看懂所有签名内容,看不懂的直接忽略就好。 当然为了方便,我也大胆地在电脑浏览器上的一些知名钱包扩展里导入我的助记词或私钥,如果真的被盗了,这个资金我是认栽的...只是如果我的被盗,我肯定会找出原因... 风险和安全每个人的承受能力不一样,选择适合自己的就好。
#私钥泄露 #数字钱包安全 #硬件钱包 #助记词安全 #风险承受能力
avatar
真是得小心翼翼,构建发布一个新版本得看清楚依赖包是不是都版本严格锁定,一不小心引入新版可能带来的供应链投毒就尴尬了。而对于用户来说加密货币世界最后一道防线是用硬件钱包并看懂其中的签名内容。
推特封号潮席卷加密圈,KOL频遭封禁引发恐慌· 139 条信息
#供应链投毒 #版本锁定 #硬件钱包 #加密货币安全 #签名内容
avatar
blanker
3周前
npm里几个非常出名的库被供应链攻击了,用浏览器发交易有可能交易被劫持,建议用硬件钱包+检查to address
#npm #供应链攻击 #交易劫持 #硬件钱包 #安全建议
avatar
Yishi
3周前
在开源硬件钱包的基础上,再配一台专门跑 defi 的净机,比如一台只做投资用途的 mac。 - 不装会议、聊天软件 - 不装来路不明的浏览器插件 - 禁用 zoom,只用 google meet web 页面 - 物理封死摄像头,直接用黑色不透明胶带盖住 facetime 前置 - 不给任何应用录屏权限 - 只从 app store 装应用 - mac 上同样需要装杀软,avg、bitdefender 都可以 - 公共 wifi 不要连,连手机热点,要不然就挂梯 - 不去野路子垃圾矿田(比如 resupply) - 只参与有赔付能力、也有赔付意愿的头部链上协议(比如 aave、morpho、pendle、lista…) - 单地址资金不超过 10m - cefi 借贷只在币安,ltv 控制在 50% 以下,并配好 bot 监控 做到这些,基本已经把 defi 风险压到最低了,我一时也想不出更好的办法。
#DeFi安全 #硬件钱包 #风险控制 #投资策略 #Mac净机
avatar
继续更新:这次大户被盗事件中,Venus 协议及前端应该都没问题,目前我们联合合作伙伴的分析倾向于大户被定点攻击了,虽然大户用了硬件钱包,但电脑里的相关钱包扩展(和硬件钱包组合搭配使用)被替换,用户发出正常的 redeemUnderlying 操作时被替换成了 updateDelegate 操作: 这个操作最终导致其 Venus 里的资产被盗: 定点攻击这位大户的黑客资金,Gas 来自 XMR 兑换而来,其他有关资金往回溯源有来自 eXch,就是那个被制裁,被干掉的暗网交易所,也是朝鲜黑客此前喜欢用的交易所...:)
#Venus协议 #大户被盗 #定点攻击 #硬件钱包 #updateDelegate操作
avatar
Yishi
1个月前
用硬件钱包的感受很像持有实物黄金。
币圈:山寨币盼涨,机构牛再现?· 4417 条信息
#硬件钱包 #实物黄金 #安全 #自主掌控 #积极
avatar
硬件钱包 怎么买 最安全!
#硬件钱包 #购买 #安全
avatar
zunzun
3个月前
群里刚好聊到、再结合最近有人抖音买硬件钱包丢了5000万的新闻、说一下我和身边人的操作吧、大概率100%安全 5个不同品牌的官方渠道购得的知名硬件钱包(每个都+passphrase) 3-of-5 多签 除更换地址的情况外只进不出 第六个为观察钱包 ☝️以上、为你的10u资产保驾护航 嫌麻烦的几百万u的钱直接放头部合规大所完全没问题 当然、也有很多人是追求极致的自托管的、都没毛病
#硬件钱包 #抖音买硬件钱包丢了5000万 #多签技术 #资产安全 #大额资产存储 #自托管 #合规交易所
avatar
小心你的资产在裸奔 Not your keys, not your coins😶 币圈的老人常说「如果你沒有自己掌握私钥,那这些资产也就没有真正属于你」,安全则更在这基础之上。 「抖音买冷钱包 5000 万元一夜被盗」事件再次提醒了大家,安全是在致富路上最重要的一环。 今天兔三桂将从把控钱包的「源头关」和「使用关」展开介绍,探讨如何保护我们的钱包安全。 1⃣ 购买前一定要把好源头关 1. 非官方渠道绝不购买,只在官方网站或官方明确列出的授权商处购买。 例如许多未经授权的第三方电商渠道中所谓的「全新未拆封」或「特价秒杀」的硬件钱包,很有可能是被破解并植入后门的设备,绝不能碰! 2. 收货时检查密封膜、防拆封条的完整性,发现异常果断拒收。 千万不能为图一时方便不想退货,就启用包装不完整的设备。 同时,即使包装完好,也可能是在运输过程中遭到了调包,部分高仿设备外观相似,但内部芯片、随机数生成器无法保证安全或存在后门。 所以一定要按照官方公布的验证流程去检查钱包的真伪! 之前有群友想出冷钱包给兔三桂,兔三桂就直接拒绝了的,一定要对自己的资产负责,拒绝二手钱包。 3. 初次开机时,让钱包脱网运行,一定要在离线环境生成助记词。 同时,记录助记词请用纸或金属板等,千万不要出现拍照,截图,云备份等操作。 强调「生成阶段必须离线」是因为👇 私钥/助记词在这一瞬间是「明文可见 & 可被篡改」的唯一机会。之后的日常使用虽然也可能插 USB,但攻击者再想读出或影响私钥,难度已截然不同。 之后使用阶段 USB 再想做坏事,会遇到的重重阻力👇 ✅ 硬件 ACL 保护 (1)想让设备吐出私钥?指令不存在,不会吐 (2)想偷偷读内部 Flash?地址不在白名单,读不了 ✅ 固件签名保护 (1)黑客若想刷入带后门的新固件,必须仿冒厂商私钥(数学上不可行)。 想伪造签名需要穷举 2 的 256 次方把钥匙 或者 破解离散对数(两者都超出现代与可预见计算能力) (2)BadUSB(恶意) 推送的任何未签名代码都会被 Bootloader 拒绝。 Bootloader是我们设备最早启动的防线,被烧进只读或写保护 Flash,无法被后刷固件覆盖(Bootloader 是用厂商公钥验证固件签名)。 ✅ PIN 锁保护(含自毁/延时策略) (1)攻击者即便拿到实物,也需要猜对 PIN 才能调⽤签名指令。 (2) 暴力破解会被延时或直接抹盘,等同于「私钥烧毁」。 除了购买前一定要把好「源头关」,使用中也要注意安全。 2⃣日常使用注意事项 1. 防范篡改地址类中间人攻击。 比如转账时,在设备屏幕逐一核对好地址信息,不要图方便只比对后几位,防止剪贴板被篡改。 2. 日常使用连接在安全的设备上(诸如升级 ROM、签名等操作),完成后立即断联。 3. 热钱包只放小额资金,大额存在冷钱包,不把全部资金集中在一台设备上。 也是我们常说的鸡蛋不要放在一个篮子里~ 4. 定期验证助记词,确认备份可用。 5. 大额资产可以使用 2-of-3 硬件多签 类似于想要开门,需要使用 3 把钥匙中的任意 2 把,既提高了抵御攻击的能力,也保留了一定的冗余。 (如 2 台冷钱包+ 1 台热钱包,假设冷钱包是A,B,热钱包为 C) 这样的好处如下👇 (1) 如果热钱包 C 被黑客攻破,冷钱包 A + 冷钱包 B 仍能阻止资金被转走。 (2) 万一冷钱包 A 坏了,只要 冷钱包 B + 热钱包 C 还在就能取回资产。 有小伙伴 可能就会问了,那我三个冷钱包呢?这里再简单对比「 2 冷 1 热」和「3 冷」优点与缺点👇 6. 冷钱包与助记词分别存放于不同地点(多地容灾,避免一锅端) #加密安全 #硬件钱包 最后,老生常谈,如果你自己沒有自己掌握私钥,那这些资产也就没有真正属于你,安全使用更建立在这个基础之上! 如果小伙伴们还有其他使用经验,欢迎大家留言区补充哦🥰
币圈:山寨币盼涨,机构牛再现?· 4417 条信息
#冷钱包安全 #私钥保护 #资产安全 #硬件钱包 #助记词备份
avatar
Yishi
3个月前
20 个月前,我们团队向 Trezor 和 MetaMask 报告了一个关于硬件钱包的中间人攻击漏洞(MITM)。这是一种设计上的缺陷,一旦钱包软件与硬件设备间的通信被截获或篡改,用户可能会遭受严重的资产损失。这篇文章很好地解释了整个攻击过程和防范办法。
#硬件钱包 #中间人攻击 #Metamask #Trezor #通信安全漏洞 #资产损失
avatar
陳威廉
3个月前
卧槽,周末震惊新闻,这么有钱的人居然上抖音买钱包。。。要素实在过多。 硬件钱包一定要通过官方渠道购买,开启前务必确认密封完整。
#抖音 #硬件钱包 #渠道 #密封
avatar
我们总说“要安全”,但多数人从没学过“怎么安全”。 OneKey 618 Web3 安全周,从今天开始。 ✓ 全场下单享 86 折优惠,选套装有额外奖励 ✓分享你遇到过的风险,参与安全故事会 ✓参与测评挑战,获得等级图卡与周边 ✓ 邀请四个好友购买硬件钱包,获得一次Classic 1s免单机会 安全,从不靠运气,靠意识和选择。 比起被动防御,不如主动掌控。
#安全教育 #网络安全 #Web3 #OneKey #硬件钱包 #优惠活动 #主动防御 #安全意识
avatar
OneKey 中文
3个月前
嗯,是值得小小庆祝的里程碑。 YZi Labs + Coinbase Venture,OneKey 硬件钱包拥有了业界第一的背书。 但我们深知,这离不开每一个信赖我们的用户,离不开每一次产品价值的交付。 OneKey 恪守专注、本分、极致的价值观。 在打造最极致、最安全、最好用的开源硬件钱包路上,我们深度求索,永无止境。
#YZiLabs #CoinbaseVenture #OneKey #硬件钱包 #开源 #安全