虽然越来越多的人涉足区块链行业,但由于很多人之前没有接触过区块链,没有相关的安全知识,安全意识薄弱,很容易让攻击者有时间去钻。
面对区块链的诸多安全问题,我们从区块链安全关键术语讲解和攻击方法两个方面进行介绍,让新手更快适应区块链危险的安全攻防世界。
一、关键名词解释
钱包(钱夹)
钱包是管理私钥的工具。数字货币钱包有各种形式,但它通常包含一个软件客户端,允许用户通过钱包检查、存储和交易他们的数字货币。它是区块链世界的基础设施和重要入口。
(2)冷钱包
冷钱包是一种离线钱包,与网络断开连接,离线存储数字货币。用户在离线钱包上生成数字货币地址和私钥,然后保存它。冷钱包存储的是数字货币,没有任何网络,黑客很难进入钱包获取私钥,但也不是绝对安全。不安全的随机数也会让冰冷的钱包变得不安全。此外,硬件的损坏或丢失也可能造成数字货币的丢失,所以要做好密钥的备份。
(3)热门钱包
热钱包是需要网络连接的在线钱包,使用起来比较方便。但是,由于热钱包一般在网上使用,个人电子设备可能会因钓鱼网站的延迟而被黑客窃取钱包文件、捕获钱包密码或破解加密私钥,部分集中的钱包管理也不是绝对安全的。
所以,在使用集中式交易所或钱包时,最好在不同平台设置不同的密码,并启动二次认证,以保证你的资产安全。
(4)公钥(Public Key)
公钥与私钥成对出现,私钥与公钥一起形成一个密钥对,存储在钱包中。公钥是由私钥生成的,但私钥是无法通过公钥反向获得的。公钥可以通过一系列的算术运算得到钱包的地址,因此可以作为拥有钱包地址的凭证。
(5)私钥(Private Key)
私钥是随机算法产生的一串数据,可以通过非对称加密算法计算出来,通过私钥对区块链的资产拥有绝对控制权。因此,区块链资产安全的核心问题在于私钥的存储密钥,公钥则可以计算出硬币的地址。私钥非常重要。作为密码,除了地址的主人,它是隐藏的。区块链资产实际上在区块链,所有者实际上只拥有私钥,所有者需要安全保管。
与传统形式的用户名和密码相比,使用公钥和私钥进行交易的最大优势在于提高了数据传输的安全性和完整性。由于它们之间——的对应关系,用户基本上不用担心数据在传输过程中被黑客截取或修改的可能性。同时,由于私钥加密必须由其生成的公钥解密,发送方也不必担心数据被他人伪造。
(6)助记符(助记符)
因为私钥是一长串无意义的字符,很难记住,所以出现了助记符。助记法就是用固定的算法把私钥转换成十多个常用的英文单词。助记符和私钥是可互操作的,并且可以相互转换。它只是一种友好的格式,作为区块链数字钱包的私钥。所以这里强调一下,助记符就是私钥!因为它是明文,所以不建议以电子方式存储,而是复制并保存在物理介质上。它和密钥库作为双重备份相互补充。
(7)密钥库
密钥库主要常见于以太坊钱包App中(比特币类似于以太坊密钥库机制:BIP38),是用钱包密码对私钥重新加密得到的。与助记符不同,它通常可以存储为文本或JSON格式。也就是说,Keystore需要用wallet密码解密,才等同于私钥。因此,密钥库需要与wallet口令一起使用才能导入wallet。当黑客窃取密钥库时,可以在没有密码的情况下,通过暴力破解密钥库密码来解锁密钥库。所以建议用户设置密码稍微复杂一点,比如取至少8位的特殊字符,安全存储。
由于区块链技术的加持,区块链数字钱包的安全系数高于其他数字钱包,其中两个关键点是防盗和防丢失。相对于盗钱原因的多样化,盗钱原因主要有五种:没有备份、备份丢失、忘记密码、备份错误、设备丢失或损坏。因此,当我们备份区块链数字钱包时,我们必须多次备份私钥、助记符和密钥库,以将损失金钱的风险扼杀在摇篮中。
1.不要使用没有备份的钱包;
2.不要使用邮件传输或存储私钥;
3.不使用微信收藏或云备份存储私钥;
4.不要截图或拍照保存私钥;
5.不使用微信、QQ传输私钥;
6.不要把私钥告诉身边的人;
7.不要将私钥发送给该组;
9.不要用苹果ID;由他人提供;
10