AVI:数据泄漏 硬件冷钱与软件冷钱包谁更安全

这两天硬件冷钱包厂商Ledger的用户数据泄漏事件闹的沸沸扬扬。我看了一下泄漏数据，我的名字和信息也赫然在列！很显然，数据泄漏对用户造成了利益侵害，然而我觉得更加值得探讨是硬件钱包方向的问题。

之前，我也使用Ledger。后来，因为看到硬件冷钱包的种种缺点，以及软件冷钱包的兴起，才毅然决定做Ownbit软件冷钱包。

软件冷钱包

不同于硬件冷钱包，软件冷钱包使用纯软件的方式实现冷钱包功能。用户需要使用两部手机，其中一部永久离线，作为冷钱包存储私钥。另一部联网，作为观察钱包使用。

软件冷钱包和硬件冷钱包实现同样的功能，安全级别类似。但是它们有一些显著的区别：

IBM安全报告：AI及自动化让数据泄露处理周期已缩短108天:金色财经报道，IBM Security于7月24日发布其年度《数据泄露成本报告》(Cost of Data Breach Report)。报告显示，2023年全球数据泄露的平均成本达到445万美元，创该报告有史以来以来最高记录，也较过去3年均值增长了15%。

同一时期内，检测安全漏洞和漏洞恶化带来的安全成本上升了42%，占安全漏洞总成本的比值也来到史上最高。人工智能和自动化对被调研组织的漏洞识别和遏制速度帮助最大。与研究中未部署这些技术的组织相比，广泛使用人工智能和自动化的组织的数据泄露处理周期会短上108天。[2023/7/25 15:57:48]

软件冷钱包可以使用闲置手机，没有额外的硬件；

FBI正在调查3Commas数据泄露事件:金色财经报道，本周一匿名人士泄露了与加密货币交易服务有关的10万个API密钥，FBI正在调查3Commas 数据泄露事件。这项调查是在这家总部位于爱沙尼亚的加密货币交易服务的用户数周提出批评之后进行的，他们表示，其首席执行官一再无视该平台泄露用户数据的警告信号。

在过去几个月里，数十名3Commas用户发现，该服务在未经他们同意的情况下，将他们所链接的加密货币交易所的资金交易出去。最初，3Commas表示，这些用户很可能是被钓鱼，并坚持认为该平台是安全的。

一个由大约60名成员的3Commas受害者团体此前曾与美国特勤局和其他执法机构联系，该团体负责人称，其总损失超过2000万美元。(Coindesk)[2022/12/30 22:16:06]

硬件冷钱包通过数据线或蓝牙传输数据，而软件冷钱包通过扫描二维码；

电子邮件自动化工具Klaviyo遭入侵，44家加密相关公司受到数据泄露影响:8月11日消息，电子邮件营销自动化工具Klaviyo表示因其一位员工遭到钓鱼攻击，导致其内部系统遭到入侵，在得知这一事件后，Klaviyo撤销了受影响用户的访问权限，并从系统中移除攻击者。比特币储蓄公司Swan Bitcoin表示，其也受到了此事件的影响。

Klaviyo称，目前还在调查中，已知的是，攻击者使用内部客户支持工具主要搜索与加密货币相关的账户，并查看了44个Klaviyo账户（44家加密相关公司）的列表和细分信息。攻击者还查看并下载了Klaviyo用于产品和营销更新的两个内部列表。这些导出包括姓名、地址、电子邮件地址和电话号码等信息，不过未包括任何密码、密码哈希或信用卡号码。[2022/8/11 12:19:18]

可信任的助记词

BlockFi和Swan Bitcoin澄清：Hubspot数据泄露对运营未造成影响:3月21日消息，针对此前加密数据服务提供商 Hubspot 发生的数据泄露事件，BlockFi 和 Swan Bitcoin 做出澄清并表示他们的运营没有受到影响，储备金资产（Treasury）也没有处于风险中，密码和其他内容信息也没有受到影响，因为 Hubspot 是一种外部工具，因此黑客无法访问内部系统。

此前报道，3月19日，加密货币金融机构 BlockFi 确认其第三方供应商之一 Hubspot 被黑客攻击导致发生数据泄露。（CoinDesk）[2022/3/21 14:09:02]

软件冷钱包可以实现更彻底的去信任，用户可以自行证明其钱包的绝对安全性。

在资产安全中，首当其冲的是助记词的安全。而在助记词的安全中，首要确认是助记词生成的随机性。如果您使用了一个作恶的硬件厂商的硬件钱包，您可能在第一步就已经陷落了。因为您拿到的助记词可能不是随机的，是预先生成的，或者是假随机的。

硬件冷钱包无法向用户证明在这点上它们是安全的。我们继续使用硬件钱包是基于对该硬件厂商的信任，而这点在数字货币的世界里是脆弱的。软件冷钱包却能给出证明。

在使用软件冷钱包时，你可选择信任软件，让其帮助您生成助记词。也可以选择不信任软件，自行在它处生成助记词。然后通过离线导入的方式生成冷钱包。因为冷钱包的设备是永久离线，不存在向互联网传输数据的可能，所以助记词的安全性得到了绝对的保障。

因此，软件冷钱包的助记词的安全性高于硬件冷钱包。

蓝牙vs二维码传输

硬件冷钱包和软件冷钱包在数据传输上的方式差别也非常大。一般而言，硬件钱包通过蓝牙与手机软件相连接。而软件冷钱包则是通过二维码扫描进行数据传输。

蓝牙传输方案的优点是：数据量大小不受限制。而这正是二维码传输的缺点。因为一张二维码所能包含的信息有限，对于有较大数据传输的场景，该缺点显得尤为突出。例如：较大的比特币交易。

蓝牙传输方案的缺点是：安全性低于二维码传输。其安全性弱主要来自于两个方面。一方面是不同的蓝牙协议版本可能存在已知或未知的bug，在特定场景下，可能存在安全隐患。另一点是，蓝牙传输方案留下了被其他设备干扰攻击的可能。在短距离范围内，通过其他蓝牙设备进行针对性的干扰或攻击。而这点在二维码传输的方案里，是完全不存在的。

蓝牙传输的另一个弱点是：可审计性差。而这点也是二维码传输的一个巨大优势。用户可以明文查看所有通过二维码传输的内容，以确认任何传输的信息都是安全的。这点可以让软件冷钱包方案提供商实现去信任，即用户可以在数据传输层面确保其私钥不受泄漏，而不用去信任该方案的提供商或开发人员、甚至不用担心软件本身可能存在的bug。

经济性和灵活性

软件冷钱包可以使用闲置的手机作为冷钱包存储，而无需购买额外的硬件。因此更加经济。

更重要的是，软件冷钱包比硬件冷钱包更加灵活。通常软件冷钱包可以实现比硬件冷钱包更加复杂的功能，例如：多签冷钱包。

软件冷钱包的灵活性，也让其在资产的恢复方面也更加有优势。如果您的硬件钱包损坏，需要购买的硬件，进行硬件恢复。而使用软件冷钱包，则没有这样的顾虑。

封闭和开放

软件冷钱包比硬件冷钱包更加开放。通过二维码传输数据的方式，可以在更广泛的范围内定义标准，实现不同软件冷钱包厂商之间的互联互通。而通过数据线或蓝牙传输的方式却无法实现这一点。

两种方案的钱包生态

目前市场上，虽然主要的冷钱包产品依然是以硬件冷钱包为主，但是它们正在受到软件冷钱包的冲击。

硬件冷钱包：

Ledger是最知名的硬件冷钱包方案提供商；

Trezor是另一个知名的硬件冷钱包提供商；

软件冷钱包：

Ownbit是最早实现软件冷钱包方案的钱包，也是支持冷钱包币种最多的钱包之一；

ParitySigner是Parity出品的以太坊软件冷钱包；

未来

事物发展的方向永远是化繁为简。越来越多的冷钱包正在以软件的方式实现。

就像大部分人不需要额外的硬件来进行阅读，因为手机本身也可以进行阅读。用更加常见的设备来替代专业的硬件是必然的趋势！因为它们在功能上类似，甚至更加优秀！

原标题：硬件冷钱包向左，软件冷钱包向右

标签：AVIBITOINCOIWAVIbitcoinCleanRougeCoinfilecoin币在哪交易

DOT热门资讯