浅谈私钥安全问题:安全隐患与可能的解决方案
最近,跟区块链安全专家 @chiachih_wu
探讨区块链安全事件屡见不鲜的原因,最终达成一个共识:这或许和区块链原生阶段私钥生成、存储以及授权的方式息息相关,事实上所有黑客攻击事件的突破口无非两个:私钥安全 和签名权限管理安全;因此也务必从私钥上下游环节彻底变革出一套解决方案来。
来源Haotian | Web3 DA:twitter
-
1/在私钥生成方面,不夸张的说,压根没有绝对意义上的去中心化钱包。因为,去中心化钱包可能存在不安全的供应链服务,其生成私钥的方式存在潜在隐患。此前phantom钱包被黑客攻击就已经说明问题了。你以为去中心化钱包私钥并不一定只存在用户的硬件设备上,也有可能被明文存储在其他中心化服务器里。
2022年10月19日 下午4:43 0条评论 -
2/关于私钥存储,绝对安全选冷钱包,高频操作需热钱包,但其实冷钱包会锁住流动性,热钱包会吸引黑客。当下市场,大资金且注重资金效率的人会把资产交给专业、合规的第三方数字资产托管平台操作。依托HSM硬件+MPC多方计算+Multipie-sign多签以及保险等技术活来解决。可想而之,保护私钥安全有多难!
2022年10月19日 下午4:43 0条评论 -
3/至于私钥授权使用,应用场景就多了去了。存在多人共管的私钥单点风险,也存在EOA账户进行高频Swap交易的授权Approve后续风险问题,前者可以通过MPC多方计算,用可信私钥分片+门限签名方案来有效解决,后者得看EIP4337下的账户抽象AA接下来是否能够在生态内得到充分应用了。 @blocksaurus1152
2022年10月19日 下午4:43 0条评论 -
4/本质上私钥生成、存储、授权现阶段的方案都是有所缺陷的,未来私钥生成层面:联合芯片厂商,将私钥生成建立在虹膜或指纹生物识别之上,会解决一大部分安全问题,你只需要保护好你的手指和眼角膜。同理授权层面:账户抽象方向的智能合约钱包会是个方向,只是走向成熟还得一定时间; @odysseus0z
2022年10月19日 下午4:43 0条评论
