博链财经

「流量大户」数字钱包的安全进化

Blocklike 2021-01-22 14:07 598

2021,迎来 DeFi+之下的新钱包时代。

2020 年以来,开放式金融给整个行业划出了一个分界线。

DeFi 生态所带来的巨大变革中,数字资产基础设施也迎来新一轮更替。作为数字资产领域内最重要的基础设施之一,钱包的发展与变化往往可显露出整个行业的发展轨迹。

1 月 19 日, 安全公司慢雾科技与老牌去中心化多链钱包 AToken 发布了审计公告,慢雾科技对 AToken 钱包已进行了全面审计,包括但不限于文件存储安全、通信加密、代码反编译、权限安全、接口安全、WebKit 安全、App 缓存安全等,并将进一步提出了安全建议。以更好地保障用户及用户资金安全。

2021 年开年,数字钱包已经开始做好了迎接更大流量的准备,这或许是一个新的信号:新一代钱包在「安全性」、「全生态」、「去中心化」等多个方向,已经开始觉醒。

数字钱包发展简史

在用户与数字货币的众多交互中,钱包是大部分操作的集合。在这里,买卖数字货币、持有数字货币、转账、质押获利、每一个操作都与用户息息相关。

早在数字货币诞生之初,为了方便用户记录地址和私钥,官方会同时发布全节点钱包,这些钱包往往属于单链单资产钱包,如 Bitcoin Core。

随着数字货币数量的不断增多,单链单资产钱包逐步发展成多链多资产钱包,2015 年,发布的第一个以太坊钱包 ETHereum Wallet,虽然也是带有完整节点的钱包,但是由于智能合约的加持,已经不再是单一的钱包功能。

以太坊的出现让智能合约的价值彰显,伴随着强大的财富效应,「钱包」也从单一的转账功能,逐步发展为了数字生态中的流量入口。

为了进一步提高用户体验,AToken 这样的新一代去中心化多链钱包陆续登上舞台。这些平台大多成为了集交易、借贷、DAPP 为一体的区块链生态入口。早在 2019 年,钱包的去中心化金融属性就愈发明显起来,质押功能、去中心化交易等功能的增加,成为了用户管理资产的必经之路。

相比于其他基础设施而言,市场对钱包最大的需求就在于「安全性」,在交易平台「丢币」、「盗币」事件不断增多的同时,用户对钱包的安全性需求也越来越高。推升钱包安全性是钱包迭代升级的重点。

老牌去中心化多链钱包 AToken 的 CTO Wilson 将数字钱包在技术上的发展分为了三个阶段:

第一个阶段,是 2009 年区块链刚刚起步到 2014 年;这个阶段的钱包主要以节点钱包和单链钱包的形式存在,给用户提供基本的充币功能。这个阶段的钱包产品相对较少,私钥保存的方式也相对比较简单。

第二个阶段,是 2014 年 ETH 主网上线到 2018 年初;这个阶段各种主链币上市,使得多链钱包成为一种趋势。这个过程中,很多钱包的产品开始起步并逐步建立自己的用户群体。在技术的演变过程中,形成了一套钱包行业基本的规范,如:底层 HD 钱包生成规则,地址派生规则等等。同时,各个钱包也开始支持智能合约以及层出不穷的 ERC20 代币。这个阶段的钱包产品,都在与各个主链对接的过程中,积累了许多底层经验。钱包产品对助记词和私钥的管理也越来越重视,从不同的维度对私钥进行了安全加固。

第三个阶段,是从 2018 年开始到现在,DeFi 和 Dex 的兴起,将智能合约的研发和推广推向了一个高潮。在这个过程中,钱包技术的重心慢慢也从各主链的对接迁移到对不同金融借贷产品的研发和对接中。随着用户的逐渐活跃,需要承载更多智能合约的对接需求。

从物理钱包,到现在的虚拟的区块链钱包,安全存储资产是钱包亘古不变的本质功能,也是用户最基础的功能需求。

安全性「觉醒」

DeFi 的热度上升,让情绪高涨的市场需求也在促使钱包赛道快速发展。

根据观察,在行业内基础设施中,头部钱包品牌对自己的产品进行审计已经逐渐成为了一种趋势。作为用户与区块链世界交互的入口,钱包也展示出了自己的行业责任与态度。

慢雾科技 CTO Blue 为 Blocklike 讲解了钱包进行审计所能带来的安全保障,主要包括以下几个方面:

1. 在钱包的核心底层上,密钥/助记词的生成及存储、转账签名流程等是至关重要的,通过安全审计后,可以在这些方面得到整体的安全性评估,针对性地对有可能造成风险的地方进行升级改造,更好地保护用户的资产;

2. 在用户可见到的界面层,安全人员会测试交互上的逻辑漏洞,而一般的钱包 App 都会使用 React Native 等框架来做界面及与底层的交互,这方面如果存在漏洞,也会导致资产的损失,如恶意读取私钥、修改转账地址等,通过安全审计可以最大可能地避免这些问题;

3. App 在与远程的通信上,也是安全上比较关注的层面,这里可能存在中间人攻击,或远程后端的一些常见的安全漏洞如越权操作、数据库注入漏洞等;

4. 大多数的钱包 App 还会包含与 DApp 的交互,如 DApp 浏览器,首先这种内置的浏览器也会存在安全风险,比如可能第三方的 DApp 能读取到钱包底层的接口等;还有钱包对 DApp 签名请求的识别,是否可能存在钓鱼风险等;

5. 钱包 App 也应该包含风控系统,如对黑客地址、诈骗地址的识别,当用户向此类地址转账时应该收到明显的安全风险提醒。

慢雾认为,随着 DeFi 热度增高且一直持续,DeFi 受到的攻击也越来越多,这也是包含钱包在内的产品选择安全审计的首要原因。

Blue 还提示到:「 区块链世界离钱很近,且处于生长阶段,会有越来越多的黑客攻击或者诈骗行为等出现,项目方在上线项目以及用户在使用项目前,应当足够谨慎,做好必要的安全防护」。

2021:

迎来 DeFi+之下的新钱包时代

在最初的托管钱包时代,私钥不属于用户所有,在中心化服务器托管链中的钱包项目端。

发展至今,去中心化钱包的私钥能够掌握在用户自己的手里,资产存储在区块链上,用户成为了真正的数字货币的持有者。

AToken CTO Wilson 总结分析认为:中心化钱包最直接的案例就是交易所钱包,大部分人接触区块链可能也都是从交易所开始。先资产充值到交易所提供的钱包地址,然后在其中完成相应交易。所有交易,资产会秒级到账,且不需要与链有任何交互,无形当中也就大大降低了用户交易手续费。但是,将资产充值到交易所,就相当于我们把资产存放在别人手中,如果对方跑路,我们将束手无策。因为,交易所提供给我们的充值地址,是由其身的私钥派生而成的。我们所有资产,都是交易所中心化数据库中的一条记录。

相比之下,去中心化钱包已经解决了用户大部分的问题。去中心化钱包会将用户私钥保存到本地,并在 APP 中对其进行了加密保存。用户在使用去中心化钱包的过程,所有与链交互的操作,都在 APP 端完成私钥签名,也就是说,用户对账户中资产有完全的控制权。而且,目前的去中心化钱包,也可以在断网模式下充当冷钱包的功能。最大程度上保证用户资产安全。

Wilson 提到:「鉴于目前区块链市场中,无论是中心化钱包还是去中心化钱包,无论是中心化金融产品还是去中心金融产品,都发生过的丢币、盗币情况。这种情况有的是管理方坚守自盗,有的是系统自身的安全级别不够。也正是鉴于上述情况考虑,AToken 本着一切以用户为中心的运营理念,着手开始对整个系统做一次全方位的安全审计。审计包括了从助记词生成、私钥保存、数据签名、网络传输、服务器安全加固等各个环节,进而最大程序地保证用户资产安全,保障系统运行的流畅度。这次的审计,也只是我们在安全路上的其中一个环节,AToken 会持续系统性地进行安全加固」。

我们可以看到,数字资产钱包作为区块链世界的流量入口、价值入口,已经承载着愈发关键的功能性角色。随着市场进入新的发展阶段,面对着目前来势汹汹的数字货币「大爆发」时期,安全性无论何时都是钱包最重要的参考标准,这是推动钱包升级迭代的基础和前提,让我们再一次记住:「Not your keys, not your coins」。

声明: 博链财经网站和App所发布的内容,均不构成任何投资建议。微信公众号:boliancaijing。
广告

Blocklike

同世界分享区块链

69 篇 作品
5.15W 总阅读量