Fuga de datos: ¿Qué es más seguro, la billetera fría de hardware o la billetera fría de software?

En los últimos dos días, se despertó el incidente de fuga de datos de usuario de Ledger, un fabricante de billeteras frías de hardware. Eché un vistazo a los datos filtrados, ¡y mi nombre e información también están allí! Obviamente, la fuga de datos ha causado daños a los intereses de los usuarios, pero creo que vale más la pena discutir la dirección de las billeteras de hardware.

Antes también usaba Ledger. Más tarde, al ver las diversas deficiencias de las billeteras frías de hardware y el auge de las billeteras frías de software, decidí decididamente hacer billeteras frías de software Ownbit.

Monedero frío de software

A diferencia de las billeteras frías de hardware, las billeteras frías de software utilizan software puro para implementar funciones de billetera fría. Los usuarios deben usar dos teléfonos móviles, uno de los cuales está permanentemente fuera de línea, como una billetera fría para almacenar la clave privada (mnemotécnica). El otro está conectado a Internet y se usa como billetera de observación.

La billetera fría de software y la billetera fría de hardware logran la misma función, y el nivel de seguridad es similar. Pero tienen algunas diferencias notables:

El servicio de préstamo encriptado Celsius sufre una filtración de datos de terceros: El servicio de préstamo encriptado Celsius ha descubierto una filtración de datos en uno de sus proveedores de servicios externos que ha expuesto la información personal de sus clientes. Según el correo electrónico, los piratas informáticos obtuvieron acceso a un "sistema de distribución de correo electrónico de terceros" utilizado por Celsius. Los piratas informáticos utilizan esta información para enviar correos electrónicos y mensajes de texto fraudulentos para engañarlos y revelar las claves privadas de sus fondos. El 14 de abril, los usuarios de Celsius comenzaron a denunciar un sitio web fraudulento que afirmaba ser la plataforma oficial de Celsius. Otros han recibido mensajes de texto y correos electrónicos que pretendían ser de Celsius, con enlaces al sitio y solicitando a los destinatarios que ingresen información confidencial. El competidor de Celsius, BlockFi, sufrió una violación de datos similar la primavera pasada. (coindesk) [2021/4/16 20:24:49]

La billetera fría de software puede usar teléfonos móviles inactivos sin hardware adicional;

BlockFi sufre otra filtración de datos, sin pérdida de fondos de clientes: el prestamista de criptomonedas BlockFi alertó a los clientes de una filtración de datos el martes por la mañana. El presidente ejecutivo, Zac Prince, confirmó que la brecha, que ocurrió el 14 de mayo, afectó a menos de la mitad de los clientes minoristas e institucionales de la compañía. La información de actividad de la cuenta de los clientes, las direcciones de correo electrónico y las direcciones postales se filtraron, pero no se expusieron las imágenes de los números de seguridad social, las licencias y las identificaciones emitidas por el gobierno. El incidente duró "aproximadamente una hora" y no afectó los fondos de los clientes, dijo la compañía. (El bloque)[2020/5/19]

Las billeteras frías de hardware transmiten datos a través de cables de datos o Bluetooth, mientras que las billeteras frías de software escanean códigos QR;

Frase semilla confiable

Las billeteras frías de software pueden lograr una falta de confianza más completa (es decir, no es necesario confiar en los desarrolladores de software), y los usuarios pueden probar la seguridad absoluta de sus billeteras por sí mismos.

Parte del ETH recopilado de la venta de la información de la "fuga de datos de Weibo" fluyó hacia el intercambio: el sistema de monitoreo Chainsmap de Beijing Chain descubrió que 57.31 ETH de transacciones relacionadas con el incidente de la "fuga de datos de Weibo" fueron recopilados y enviados al intercambio de HitBTC.

Según el analista de datos SXWK, después de que ocurriera la fuga de datos relevante, monitoreamos la dirección de la transacción proporcionada por el informante. Aunque el vendedor de datos dio diferentes direcciones a diferentes compradores, recientemente recolectó un total de 57.31 ETH de 155 direcciones, incluida nuestra dirección de monitoreo a la nueva dirección, y luego lo transfirió al intercambio. El tiempo de transacción de estas direcciones fue posterior a la violación de datos, y la mayoría de ellas solo se negociaron una vez, y la cantidad involucrada fue principalmente entre 0,3 y 0,5 ETH. [2020/3/26]

En la seguridad de los activos, lo primero que hay que soportar es la seguridad de la frase mnemotécnica. En la seguridad de la mnemotécnica, la primera confirmación es la aleatoriedad de la generación mnemotécnica. Si está utilizando una billetera de hardware de un fabricante de hardware malicioso (o con errores), probablemente ya esté atrapado en el primer paso. Debido a que el mnemotécnico que obtiene puede no ser aleatorio, puede ser generado previamente o puede ser pseudoaleatorio.

Dinámica | Resumen de enfrentamientos ofensivos y defensivos de la cadena de bloques SlowMist: las fugas de datos se están volviendo cada vez más comunes en noviembre: según el monitoreo del sistema BTI de SlowMist, han surgido filtraciones de datos relacionadas con la cadena de bloques en la dark web, que incluyen: Información de 1,4 millones de usuarios de GateHub, Información de usuario de cambio de moneda digital, etc. Anteriormente, BitMex también filtró una gran cantidad de información de buzón de usuario debido a errores de trabajo. Otro incidente de seguridad importante en noviembre fue que 342,000 ETH fueron robados de la billetera caliente cuando el intercambio de Corea del Sur Upbit fue pirateado.El equipo de seguridad de SlowMist sospecha que este incidente puede estar relacionado con los ataques APT (Advanced Persistent Threat), que se caracterizan por Lurk durante mucho tiempo hasta que encuentre una gran cantidad de dinero que pueda manipular y robe una gran suma de dinero a la vez.

En los últimos meses, el sistema SlowMist BTI también ha revelado ataques de vulnerabilidad de recarga falsa, ataques a la cadena de suministro y ataques de reemplazo y secuestro de direcciones de retiro de monedas.Conciencia y sistema de control de riesgos de la plataforma, si es necesario, puede comunicarse con una empresa profesional de seguridad de blockchain para ayudar a evitar pérdidas. (IMEOS)[2019/12/1]

Las billeteras frías de hardware no pueden demostrar a los usuarios que están seguros en este punto. Nuestro uso continuo de billeteras de hardware se basa en la confianza en el fabricante del hardware, que es frágil en el mundo de las monedas digitales. La billetera fría de software puede dar prueba.

Al usar una billetera fría de software, puede elegir confiar en el software y dejar que lo ayude a generar palabras mnemotécnicas. También puede optar por no confiar en el software y generar palabras mnemotécnicas allí usted mismo. Luego genere una billetera fría mediante la importación fuera de línea. Debido a que el dispositivo de la billetera fría está permanentemente fuera de línea, no hay posibilidad de transmitir datos a Internet (la única interacción es escanear el código QR y observar la transmisión de texto claro entre las billeteras, que se puede revisar), por lo que la seguridad de la mnemotécnica ha sido absolutamente garantizada.

Por lo tanto, la seguridad de las palabras mnemotécnicas de la billetera fría de software es mayor que la de la billetera fría de hardware.

Transmisión de código QR vs Bluetooth

Los métodos de transmisión de datos de las billeteras frías de hardware y las billeteras frías de software también son muy diferentes. En términos generales, las billeteras de hardware están conectadas al software del teléfono móvil a través de Bluetooth. El software de billetera fría utiliza el escaneo de códigos QR para la transmisión de datos.

La ventaja del esquema de transmisión bluetooth es que el tamaño de los datos no está limitado. Y esta es la deficiencia de la transmisión de códigos QR. Debido a que la información que puede contener un código QR es limitada, esta deficiencia es particularmente importante para escenarios con una gran transmisión de datos. Ejemplo: Transacciones de Bitcoin más grandes (gran cantidad de UTXO).

La desventaja del esquema de transmisión bluetooth es: la seguridad es menor que la transmisión de código bidimensional. Su débil seguridad proviene principalmente de dos aspectos. Por un lado, las diferentes versiones del protocolo Bluetooth pueden tener errores conocidos o desconocidos y, en ciertos escenarios, puede haber riesgos de seguridad. Otro punto es que el esquema de transmisión de Bluetooth deja la posibilidad de ataques de interferencia por parte de otros dispositivos. Dentro de una distancia corta (dentro de 10 metros), realice interferencias o ataques dirigidos a través de otros dispositivos Bluetooth. Y este punto no existe en el esquema de transmisión de códigos QR.

Otra debilidad de la transmisión por Bluetooth: mala auditabilidad. Y esta es también una gran ventaja de la transmisión de códigos QR. Los usuarios pueden ver todo el contenido transmitido a través de códigos QR en texto claro para confirmar que la información transmitida es segura. Esto permite que los proveedores de soluciones de billetera fría de software logren confianza, es decir, los usuarios pueden asegurarse de que sus claves privadas (palabras mnemotécnicas) no se filtren a nivel de transmisión de datos, sin tener que confiar en el proveedor o desarrollador de la solución, o incluso preocuparse por Es posible que haya errores en el propio software.

Asequibilidad y flexibilidad

La billetera fría de software puede usar un teléfono móvil inactivo como almacenamiento de billetera fría sin necesidad de comprar hardware adicional. Por lo tanto más económico.

Más importante aún, las billeteras frías de software son más flexibles que las billeteras frías de hardware. En general, las billeteras frías de software pueden implementar funciones más complejas que las billeteras frías de hardware, como las billeteras frías de múltiples firmas.

La flexibilidad de la billetera fría de software también la hace más ventajosa en la recuperación de activos. Si su billetera de hardware está dañada, debe comprar hardware (del mismo fabricante) para recuperarlo. Con las billeteras frías de software, no existe tal preocupación.

Cerrado y Abierto

Las billeteras frías de software son más abiertas que las billeteras frías de hardware. Por medio de la transmisión de datos a través de códigos QR, se pueden definir estándares en un rango más amplio y se puede realizar la interconexión entre diferentes fabricantes de billeteras frías de software. Sin embargo, esto no se puede lograr a través de cables de datos o transmisión Bluetooth.

Ecología de billetera de dos esquemas

En el mercado actual, aunque los principales productos de monederos fríos siguen siendo monederos fríos de hardware, están siendo afectados por monederos fríos de software.

Monedero frío de hardware:

Ledger es el proveedor de soluciones de billetera fría de hardware más conocido;

Trezor es otro conocido proveedor de monederos fríos de hardware;

Monedero frío de software:

Ownbit es la primera billetera en implementar la solución de billetera fría de software, y también es una de las billeteras que admite la mayoría de las monedas de billetera fría;

Parity Signer es una billetera fría de software Ethereum producida por Parity;

futuro

La dirección del desarrollo de las cosas es siempre simplificar. Cada vez se implementan más carteras frías en el software.

Al igual que la mayoría de las personas, no necesitan hardware adicional para leer (libros electrónicos), porque el teléfono también puede leer. ¡Es una tendencia inevitable reemplazar el hardware profesional con dispositivos más comunes (teléfonos móviles)! ¡Porque son funcionalmente similares, incluso mejores!

Título original: billetera fría de hardware a la izquierda, billetera fría de software a la derecha

Tags：

OKB