不安全的比特币钱包？链马告诉你最简单的方法

链马，连接金融热点！

购买数字货币后，你的“钱”放在哪里？

2017年数字货币大肆炒作，一年飙升13倍。

2018年1月27日，日本数字货币交易所召开新闻发布会，称Coincheck钱包被盗丢失5.33亿美元的NEM代币（XEM），比2014年的Mt. Gox损失还多盗窃。

这一消息可谓惊动了币圈投资者的心。每个人都担心自己的数字资产有一天会被盗。因为你只能承认被偷了，就像你的房子被小偷偷了一样，没有人会赔偿你的损失。

随着比特币的兴起和崛起，全球数字货币的未来前景受到关注和期待。在当前加密货币火爆的趋势下，安全存储成为最关键的一环。一个安全可靠的数字货币钱包是存储数字资产非常重要的地方。

数字货币钱包的概念及用途

数字货币钱包是专门用于管理数字货币的应用程序。

钱包提供钱包地址创建、数字货币转账、资产管理交易历史查询等基本财务功能。

一个钱包原则上可以建立一个或多个钱包地址，但一个钱包地址只有一个公钥和一个私钥。

公钥：主要用于外部交易，是发送给接收方的钱包公钥；

私钥：是唯一可以证明发送者对数字资产有控制权的证书，即证明公钥上的资产是你的问题。对于数字钱包来说，私钥是最重要的，私钥的生成和存储方式决定了资产是否安全。

有哪些类型的钱包？

钱包功能

因为公钥是对外的，每个人都可以看到，而私钥是证明数字资产的唯一证明，只有你自己知道，所以数字货币钱包是用来管理和使用私钥的工具。

最基本的功能：

1、私钥生成与管理；

2、 助记词生成与管理；

3、钱包地址生成；

4、 导入其他钱包生成的私钥和助记词；

5、转移数字资产；

这是市面上常见的数字货币钱包的常见功能。但是，只要在互联网上使用，就会有一定的不安全性。

1、用户使用中的安全风险

在交易所托管私钥是非常不安全的

通常每个人都将密钥托管在服务提供商的服务器上，所有数字货币交易所都使用这种模式来管理用户的私钥。

你总是这样用吗：

此过程中至少存在四种安全风险：

1、 资产因平台被黑而丢失；

每年都有大量的平台被Hacker攻击比特币钱包比特币钱包，一旦攻击成功，由于区块链的不可追溯性、不报告丢失、匿名性，一旦丢失，就再也找不到了。

2、账户名和密码的安全性；

许多用户习惯于在不同平台上使用相同的帐号名和密码。如果其中一个网站被成功攻击，则该网站的所有用户名和密码都可能被用于对交易所账户系统的登录攻击。一旦黑客控制了用户的托管账户，就可以进行数字资产转移。

3、浏览器安全风险；

在登录过程中，浏览器漏洞或插件也可能导致您的账号密码泄露。

4、网络传输的安全风险；

主要指网络传输过程中的HTTPS证书劫持或中间人攻击。

普通钱包模式

1、轻钱包模式

表示钱包应用程序并没有将钱包使用的设备假设为一个完整的区块节点，而是使用服务器提供的节点来广播交易。

目前所有的钱包应用都属于轻钱包模式。这种模式下如何创建私钥？

在云端生成私钥；

在客户端生成私钥；

在前一种模式中，私钥实际上是托管在别人的服务器上。是的，一旦服务器被成功攻击，你的私钥很可能得不到保证。

后一种模式更注重钱包设计的安全性。

输入法的风险

在数字资产交易中，您需要输入 PIN 码来验证您的身份。避免PIN码安全问题最好的办法就是避免Keystroke logging的出现，解决办法是使用内置的乱序安全键盘，这样可以保证用户在输入密码时的安全最大程度的密码。

2、技术安全问题

一个安全的数字货币钱包在安全技术方面通常需要从5个维度进行设计：

操作环境的安全性；

由于私钥/助记词存储在终端设备上，无论是PC还是移动终端，只要终端设备环境不安全，都容易造成私钥被盗。

终端运行环境的安全问题主要围绕病毒软件、操作系统漏洞和硬件漏洞。

网络传输的安全风险；

网络传输的安全性更多体现在是否具有良好的抵抗他人攻击的能力以上，这里主要指MITM，即攻击者与通信的两端建立独立的连接，交换数据他们收到。两端的人都以为他们是在与对方直接对话，但实际上整个对话完全由攻击者控制。

虽然现在大部分钱包都使用HTTPS协议与服务器通信，但攻击者可以通过在用户终端安装数字证书来获取HTTPS协议的内容。

文件存储方式的安全风险

这里指的是终端上私钥/助记词的存储安全，特别注意存储文件存储目录的访问权限。

特别提醒：在市面上绝大多数钱包中，私钥的存储是比较随意的。即使有加密存储，也是写在代码里的，完全没有安全作用。

应用程序本身的安全风险

主要关注应用安装包本身的安全防御。

判断应用安装包的安全防御，看是否具备防篡改能力的核心技术能力。此外，应用程序运行过程中的内存安全性、抗调试能力、私钥/助记词的生命周期、调试日志的安全性、开发过程的安全性都对应用程序本身的安全性。

数据备份的安全风险

例如，如果android:allowBackup 属性设置为允许备份，那么可以使用系统备份机制来备份数据文件。一旦私钥/助记词存储在外部设备上，操作系统的安全边界设计就会被打破。

如何应对数字货币钱包的安全风险？

根据我多年玩币的个人经验，对于个人玩家来说，最好的办法就是把那张纸写下来，然后放在你不看的本子里，或者放在一本不能正常开机的电脑。我没有连接到互联网，所以让我们开始吧！

对于钱包开发者来说，一旦出现应用安全漏洞，应及时修复并为用户升级，然后重新创建一个新钱包，让用户通过 transfer 将旧资产转移到新钱包中，然后丢弃旧钱包。

数字货币钱包遵循的安全标准

安全是加密数字货币钱包最基本的内容。一个安全的加密数字货币钱包应该能够让用户私钥//助记词受到安全保护。

在此原则下，加密数字货币钱包的设计应遵循以下安全体系：基础安全体系、密钥管理安全体系、开发过程安全体系和用户行为安全体系。

所以大家应该用最原始的方法写下来，这样最安全！

好了，今天的内容就到这里了，明天继续第五讲“钱包相关的那些话题”，再见！