tiêu đề phụ

Khóa cá nhân, ví và thẻ SIM đã bị tấn công và các lỗ hổng bảo mật bị lộ do các sự cố bảo mật gần đây

Hãy giải mẫn cảm và nói về một số sự cố bảo mật được tiết lộ trong tháng qua.

Đầu tiên là Altsbit, một sàn giao dịch tiền điện tử của Ý, đã bị hack. Mặc dù số tiền tương đối nhỏ và là một sàn giao dịch tương đối mới, nhưng ban đầu sàn giao dịch này có số tiền tương đối nhỏ và số tiền bị đánh cắp thực sự chiếm phần lớn khả năng của họ. khoảng nửa đường, vì vậy họ tuyên bố đóng cửa.

Cái thứ hai là IOTA. Chúng tôi nhận thấy rằng sự cố này chủ yếu là do toàn bộ mạng chính của IOTA đã bị đình chỉ do sự cố này. Hãy tưởng tượng một chuỗi công khai nổi tiếng có thể đình chỉ mạng chính. Điều gì sẽ khiến họ làm điều này? đại loại là vậy?

Mạng chính của chuỗi công khai bị đình chỉ, chẳng hạn như Bitcoin và Ethereum, nếu chúng bị đình chỉ, điều đó có nghĩa là không thể thực hiện giao dịch nào và các hợp đồng khác nhau đang chạy trên đó không thể được thực hiện bình thường và tổn thất sẽ rất lớn . IOTA đã làm điều này vào thời điểm đó, bởi vì ví chính thức đã giới thiệu các thành phần của bên thứ ba và các thành phần của bên thứ ba đã bị tấn công, điều này đã gián tiếp ảnh hưởng đến nhiều người dùng ví chính thức của họ, dẫn đến việc khóa cá nhân và mật khẩu của họ bị đánh cắp. Theo tính toán thiệt hại, số IOTA bị đánh cắp là khoảng 8,55 triệu mảnh, trị giá khoảng 2,3 triệu đô la Mỹ.

Khi mới bắt đầu sự việc, cả cộng đồng và các cơ quan chức năng đều rất hoang mang, không biết vấn đề từ đâu mà nhận được rất nhiều lời phàn nàn từ người dùng về việc bị mất coin. Để điều tra vấn đề này, họ đã phải đình chỉ toàn bộ mạng chính.

Tác động này đối với chúng tôi dường như là một sự kiện có ảnh hưởng rất sâu rộng, nhưng ở Trung Quốc, ngoài việc chủ động theo dõi và tiết lộ nó, đồng thời liên lạc với quan chức và một số người có liên quan trong cộng đồng trên Twitter Ngoài các tương tác có liên quan, về cơ bản, không có đội bảo mật nào khác phản hồi về vấn đề này.

Vào thời điểm đó, chúng tôi phát hiện ra rằng lý do tại sao nó bị hack là do ví chính thức đã phát hành phiên bản mới với mô-đun giao dịch tích hợp, tương đương với chức năng trao đổi trong ví.

Đối với một ví như vậy, phiên bản dành cho máy tính để bàn của nó sử dụng khung phát triển JavaScript rất nổi tiếng. Quyền truy cập của anh ấy vào bên thứ ba cũng được nhúng thông qua lệnh gọi JavaScript từ xa. Điều này sẽ gây ra sự cố Nếu bên thứ ba bị chiếm quyền điều khiển hoặc bị tấn công, nội dung JavaScript sẽ bị thay đổi, điều này có thể ảnh hưởng trực tiếp đến ví IOTA, vì toàn bộ môi trường hoạt động của nó là JavaScript.

Vì vậy, về cơ bản có thể coi là có vấn đề với bên thứ 3. Miễn là người dùng mở ví và kết nối với Internet, khóa cá nhân, mật khẩu của bạn và một số thông tin liên quan mà bạn có thể vận hành đều có khả năng phát hiện ra vấn đề này. mã JavaScript độc hại. Đây là một trường hợp tấn công rất thực tế. Chúng tôi cũng đưa ra các báo cáo nghiên cứu bằng tiếng Trung và tiếng Anh.

Sau đó là bZx, bZx là một dự án DeFi. Trên thực tế, trước khi nó bị hack, chúng tôi đã nghe rất ít về nó. Xét cho cùng, nó không được công khai đặc biệt ở Trung Quốc và có tương đối ít người sử dụng nó. Chúng tôi là bởi vì nó đã bị hack một lần, và sau đó bị hack lần thứ hai, vì vậy chúng tôi rất quan tâm tại sao nó lại bị hack?

Trên thực tế, nguyên nhân cơ bản nằm ở toàn bộ mô hình kinh tế và việc kiểm soát rủi ro còn thiếu sót. Bao gồm cả việc luân chuyển lẫn nhau một số quỹ trong các thỏa thuận này, v.v., theo chúng tôi, đó là một khiếm khuyết về kiểm soát rủi ro trong một mô hình kinh tế của toàn bộ hệ thống và của cả hệ thống. Vì vậy, theo cách hiểu của chúng tôi, vấn đề này không phải là một vấn đề quá truyền thống, chẳng hạn như một lỗ hổng rất đơn giản như lỗ hổng trong hợp đồng thông minh trước đây hoặc một số lỗ hổng rất đơn giản như quá nhiều quyền, tiếp cận quá mức, v.v.

Biến động này là sự kiện tấn công chỉ có thể xảy ra khi kết hợp giữa hệ thống và bên ngoài hệ thống trên toàn bộ mô hình kinh tế. Trước khi họ bị tấn công, các đội khác đã thực sự nhắc nhở họ rằng có thể có một vấn đề như vậy. Nhưng những tin tặc ngầm này, một trong những quy tắc thực thi mà họ tuân theo là làm điều đó. Tức là bạn phải làm và cho mọi người thấy rằng bạn thực sự có thể làm được, chứ không phải nói nó có thể có vấn đề gì.

Tất nhiên, một cảnh báo sớm như vậy cũng tốt, nhưng chỉ là nhiều khi các quan chức cảm thấy rằng họ đã rất quen thuộc với các hợp đồng thông minh và thế giới DeFi, nhưng họ quá tự hào. Sau khi nó thực sự được thực hiện, mọi người đều biết rằng rủi ro lý thuyết này sẽ thực sự xảy ra. Đây là một tiết lộ do bZx mang đến cho chúng tôi.

Theo quan điểm của chúng tôi, nó là một đại diện cho nhãn phân quyền. Tuy nhiên, dù phi tập trung hay tập trung, đều có những rủi ro liên quan.

Lần gần đây nhất, mọi người hẳn rất ấn tượng, đó là vào cuối tuần cách đây vài ngày, người này tên là Josh Jones. Chúng tôi cũng đưa ra những suy đoán liên quan. Vào thời điểm đó, anh ấy nói trên Reddit rằng anh ấy đã bị đánh cắp, có thể là hơn 1.500 bitcoin và gần 60.000 BCH. Anh ấy nói rằng thẻ SIM của anh ấy đã bị hack và thẻ SIM là một mô-đun rất quan trọng trong điện thoại di động, nếu thẻ SIM bị hack chẳng hạn, thẻ SIM của tôi đã bị hacker sao chép, nó tương đương với việc sở hữu điện thoại di động của tôi số. Việc nhận bất kỳ thông tin nào, chẳng hạn như mã xác minh của nền tảng có liên quan, có thể trực tiếp gây ra nguy cơ tiền của tôi trên nền tảng này bị ảnh hưởng.

Tại sao anh ấy nói rằng thẻ SIM đã bị hack, chúng tôi tin vào điều đó hơn, bởi vì năm ngoái, nhiều người dùng của sàn giao dịch Coinbase đã bị hack vì thẻ SIM, dẫn đến việc tiền của họ trên Coinbase bị đánh cắp, theo ý kiến ​​​​của chúng tôi. cùng loại rủi ro, cụ thể là bên thứ ba.

Trên thực tế, nó rất giống với IOTA mà tôi đã đề cập trước đó.IOTA đã bị hack vì ví được nhúng trong một sàn giao dịch của bên thứ ba. Điều này và Coinbase và Josh Jones đã bị tấn công vì các bên thứ ba.

Phương thức tấn công bằng thẻ SIM thực sự rất phổ biến, nhưng ở Trung Quốc, bạn không cần phải lo lắng quá nhiều, bởi vì đất nước này đã trải qua sự hỗn loạn của những người khai thác ban đầu và thậm chí cả nội bộ xấu xa của những người điều hành, bao gồm cả một số của chúng tôi các luật và quy định liên quan. , Số điện thoại di động của mọi người sẽ không dễ bị người khác sao chép.

Ở nước ta cách đây khoảng 10 năm, hiện tượng này khá phổ biến. Tuy nhiên, sức mạnh của các nhà khai thác nước ngoài có thể không mạnh bằng chúng ta, mọi người đều biết rằng cơ sở hạ tầng của nước ta rất mạnh. Tuy nhiên, nhiều nhà khai thác nước ngoài được điều hành bởi các công ty tư nhân và sức mạnh kỹ thuật của họ có thể không cao, bao gồm một số thỏa thuận nội bộ liên quan, có thể là phiên bản rất cũ và quản lý kiểm soát rủi ro có thể tương đối lạc hậu, và thực sự sẽ có các nhà khai thác nước ngoài .Số điện thoại di động được sao chép bằng kỹ thuật xã hội và các phương tiện khác.

Chúng tôi sẽ nhắc bạn rằng nếu bạn là người dùng ở nước ngoài, ngoài việc sử dụng số điện thoại di động của bạn làm yếu tố hai yếu tố, thì tốt nhất bạn nên sử dụng ứng dụng xác thực thứ hai như Google Authenticator hoặc một số giải pháp cấp phần cứng.

tiêu đề phụ

Làm cách nào để quản lý khóa riêng của bạn?

Một tháng qua chúng ta thấy có nhiều vấn đề, thực ra là có cả bên trong lẫn bên ngoài. Ví dụ, trong nội bộ mọi người đều biết rằng khóa riêng là danh tính. Khóa bí mật có tài sản rất quan trọng, liên quan đến ba điểm chính, từ việc tạo khóa riêng đến lưu trữ và sử dụng, nếu có bất kỳ liên kết nào không cảnh giác, có thể khi thời gian trôi qua, khi nào đó. rủi ro bị phơi bày, khả năng quay lại hoặc điều tra là rất thấp.

Khi chúng tôi thường đề cập đến khóa riêng tư, chúng tôi cũng đề cập đến đa chữ ký, bao gồm một thuật toán rất phổ biến được gọi là điện toán đa bên an toàn, nhưng trong những ngày đầu, nhiều người thực sự cần quản lý một số tài sản nặng, đặc biệt là những tài sản có một số loại tiền tệ. hỗ trợ cho đa chữ ký không phải là rất yên tâm.

Ví dụ, Ethereum, mọi người đều biết rằng sơ đồ đa chữ ký phổ biến của Ethereum được thực hiện thông qua các hợp đồng thông minh. Tuy nhiên, đã có những vấn đề về bảo mật trong lịch sử của các hợp đồng thông minh đa chữ ký và chúng tôi không thể tin 100% rằng mục tiêu bảo mật tuyệt đối đa chữ ký có thể đạt được thông qua các hợp đồng thông minh trên chuỗi.

Ngay cả khi tôi không sử dụng hợp đồng thông minh, tôi cũng không thể đảm bảo tính bảo mật tuyệt đối nếu tôi tạo đa chữ ký trên bộ giao thức và ngoài chuỗi. Nhưng ở đây chúng ta sẽ thoải mái hơn. Lý do là phương pháp này đã được xác minh vô số lần trong lịch sử, nếu có vấn đề, về cơ bản mọi người đều có thể nghĩ rằng có vấn đề rất, rất lớn với toàn bộ chuỗi công khai hoặc cơ sở hạ tầng của những chuỗi công khai nổi tiếng này. Lúc này, nó không còn là một trường hợp nhất định, mà chắc chắn là một sự cố quy mô rất lớn.

Do đó, từ góc độ xác suất và kiểm tra mã liên quan, bao gồm cả tần suất sử dụng, nhiều người thích các giải pháp gốc và minh bạch như BTC hơn là các hợp đồng thông minh nhiều chữ ký do bên thứ ba viết, mặc dù các hợp đồng thông minh này cũng đã được thông qua kiểm toán bảo mật , nhưng chúng tôi không tin tưởng vào hợp đồng thông minh và máy ảo nằm dưới hợp đồng thông minh.

Vì vậy, trong những ngày đầu, có rất nhiều người có khóa riêng được tạo theo cách rất thời kỳ đồ đá. Người ta nói rằng sau khi khóa riêng được tạo ra, chẳng hạn như khóa riêng hoặc mnemonic, thông qua nhiều bản sao và phiên âm, điều đó có nghĩa là có nhiều người phụ trách. Những người này ban đầu có thể rất tin tưởng lẫn nhau, ví dụ như ba người, nếu hai người bất kỳ lấy được khóa riêng, hoặc một đoạn cụm từ ghi nhớ, họ có thể tạo thành một khóa riêng hoàn chỉnh.

Nhưng câu hỏi đầu tiên ở đây là khi khóa riêng được tạo ra, ai đã làm điều đó? Môi trường anh ta tạo ra có an toàn không? Anh ta nói rằng anh ta đã xóa nó sau khi hoàn thành nó, dữ liệu đã bị xóa, những thứ này Có cách để khôi phục nó. Điều này không giải quyết được vấn đề đáng tin cậy trong bước đầu tiên, và nó sẽ gieo mầm đáng để đặt câu hỏi hoặc nghi ngờ. Do giai đoạn đầu của những vấn đề này nên rất khó điều tra rõ ràng.

Sau đó, có lưu trữ, làm thế nào để đặt khóa riêng ở nơi an toàn.

Cái khác là để sử dụng, cuối cùng bạn vẫn phải sử dụng nó, bạn phải in ra những đồng xu này, hoặc bạn phải chuyển chúng, v.v. Miễn là bạn sử dụng nó, dù trực tiếp hay gián tiếp, bạn sẽ có khả năng được kết nối với Internet hoặc môi trường hoạt động của bạn có an toàn vào thời điểm đó không?

Trên thực tế, nhiều vụ án nội bộ gần đây xoay quanh khóa riêng, khóa riêng được đề cập vừa rồi rất cốt lõi ở cấp độ chuỗi khối, đồng thời nó cũng rất cơ bản và là thứ rất cấp thấp.

Ở cấp độ của toàn bộ hệ thống, chẳng hạn như trao đổi hoặc ví, để chạy, có nhiều mô-đun kinh doanh khác nhau, chẳng hạn như giao dịch tiền tệ, giao dịch tiền tệ fiat, chuyển giữa các ví, nạp tiền, hiển thị, v.v. Bao gồm một số cách chơi mới hiện nay, chẳng hạn như giao dịch hợp đồng, đòn bẩy và bạn có thể có quyền giám sát quỹ và bạn có thể sử dụng bên thứ ba.

Khi chúng ta xem xét các vấn đề bảo mật, khi một thứ ở cấp độ cao hơn và hướng đến người dùng nhiều hơn, thì mức độ phức tạp của toàn bộ bảo mật sẽ tăng lên. Do đó, chúng tôi cũng nhận thấy có nhiều trường hợp bị hack, hoặc bị đánh cắp coin do cấp trên thiếu kiểm soát rủi ro hoặc nền tảng quản lý liên quan bị hack.

Nhiều người có thể nghĩ rằng nền tảng quản lý của tôi, làm sao tin tặc có thể nhìn thấy? Trên thực tế, miễn là bạn kết nối với Internet, máy tính của bạn có thể bị cấy mã độc Trojan hoặc vi rút, điều này có thể khiến quyền của các nền tảng liên quan này bị mất ăn cắp.

Khi chúng tôi phân tích một sự kiện bị hack hoặc một sự kiện bị đánh cắp tiền, cách tiếp cận của chúng tôi chắc chắn là chia nhiều lớp và mô-đun từ trên xuống dưới và chúng tôi sẽ sử dụng phương pháp đơn giản nhất, được gọi là phương pháp loại trừ. Việc loại bỏ từng mảnh ghép và từng mảnh ghép cuối cùng quyết định gốc rễ của nó nằm ở đâu.

Nhưng quá trình này thực sự rất tốn thời gian, trong trường hợp tốn nhiều thời gian nhất, phải mất hơn hai tháng chúng tôi mới phát hiện ra sự thật. Khoảnh khắc cả đoàn chúng tôi biết sự thật, nước mắt chực trào ra, trong phút chốc cảm thấy buồn tẻ.

Chúng tôi biết sâu sắc rằng bất kỳ sự kiện nào, theo quan điểm của chúng tôi, cũng giống như việc giải quyết một vụ án, và chúng tôi cần sử dụng phương pháp loại trừ để liệt kê mọi khả năng, sau đó loại trừ từng khả năng một. Hơn nữa rất nhiều lúc, rất nhiều người miêu tả có vấn đề, chư vị phải cân nhắc, trí nhớ của hắn cũng có thể có vấn đề, thậm chí có thể cố ý làm chuyện xấu, chư vị nhất định phải cân nhắc.

Trên thực tế, trong lịch sử của chúng ta có thể phá án thành công không nhiều, có thể phá án tỷ lệ có thể hơn phân nửa, càng đừng nói là tuyệt đối. Sau khi vụ án được giải quyết, xác suất lấy lại được số tiền bị đánh cắp thậm chí còn thấp hơn.

Bởi vì mọi người đều biết rằng các giao dịch tiền điện tử là minh bạch và hiển thị trên chuỗi, nhưng tính minh bạch và khả năng hiển thị này chỉ giới hạn cho các giao dịch và sẽ không ghi lại IP hoặc quyền riêng tư của bạn trong thế giới thực.

Khi theo dõi trên chuỗi, có một điểm thú vị hơn là cuối cùng, những đồng tiền này chắc chắn sẽ được chuyển đổi thành tiền pháp định, và đó chỉ là vấn đề thời gian.

Tôi có thể đổi nó sau vài năm nữa, sau khi cuộc hỗn loạn kết thúc, và cuối cùng bạn sẽ đổi nó thành tiền tệ hợp pháp. Trong nhiều trường hợp chúng tôi tìm thấy, nó rất háo hức để chuộc lại nó.

Nếu chúng tôi là một hacker ngầm, bất kể chúng tôi sử dụng phương pháp nào, chúng tôi sẽ đánh cắp tiền thông qua các kẽ hở trong các ví trao đổi này hoặc chúng tôi sẽ lừa đảo nhiều người dùng khác nhau để đánh cắp tiền của anh ta hoặc chúng tôi sẽ sử dụng ransomware để đánh cắp máy chủ và máy tính của bạn được mã hóa và bạn phải trả cho tôi bằng Bitcoin hoặc Monero hoặc bất cứ thứ gì. Dù thế nào đi chăng nữa, tôi đã đánh cắp những đồng xu này và tôi sẽ tìm cách lấy chúng ra.

Điều này liên quan đến việc tiền tệ của bạn sẽ được chuyển đến sàn giao dịch. Trước khi tham gia sàn giao dịch, ngày càng có nhiều chuyên gia đi qua một nền tảng trộn tiền tệ. Sự tồn tại của các nền tảng trộn tiền xu này là một trò chơi dành cho những người khác cần rửa tiền. Tôi rửa tiền trong đó, mỗi lần tôi không được quá nhiều, điều này có nghĩa là tốc độ của tôi sẽ chậm, và tôi có thể tìm thêm một vài công ty để rửa cùng nhau, lý do là nếu công ty của bạn lộn xộn Vâng, tôi có thể tìm thấy tất cả các chuỗi bằng chứng về việc rửa tiền cho bạn và thậm chí bạn sẽ ghi lại IP của tôi, v.v.

Những phương pháp này không đặc biệt hiệu quả khi đối mặt với một số siêu năng lực. Như vậy bạn có thể thấy rằng rửa tiền cũng là một nghệ thuật, nó không hề dễ dàng và càng chuyển động lớn thì khả năng bị bại lộ càng cao.

Cuối cùng, sau khi bạn thoát khỏi tiền tệ hỗn hợp, bạn phải tham gia một số trao đổi nổi tiếng, bởi vì họ có các kênh tiền tệ hợp pháp để thoát ra và điều này liên quan đến danh tính và số tài khoản của bạn trên trao đổi này. Các hacker chuyên nghiệp sẽ không bao giờ sử dụng danh tính của chính họ để đăng ký với các sàn giao dịch này.Các KYC khác nhau, các danh tính khác nhau và thậm chí cả nhận dạng video của họ có thể là giả mạo.

tiêu đề phụ

Làm thế nào để đánh giá liệu dự án này có an toàn hay không?

Câu hỏi được nhiều người quan tâm chính là dự án có an toàn hay không, đánh giá như thế nào?

Đây không phải là một nhiệm vụ dễ dàng, nhưng chúng tôi đã đưa ra một số cơ sở để đánh giá, có thể được sử dụng làm tài liệu tham khảo cho mọi người.

Thứ nhất, có đội ngũ bảo mật nội bộ mạnh hay một người cốt lõi có kinh nghiệm bảo mật phong phú đang kiểm tra, điều này rất quan trọng. Tôi có thể không có đội ngũ bảo mật, nhưng không sao cả, tôi có kinh nghiệm rất phong phú, tôi có thể kết nối R&D, vận hành và bảo trì, vận hành, v.v. và thúc đẩy toàn bộ công việc xây dựng an ninh một cách có trật tự, điều đó tốt .

Vậy làm thế nào để bạn đánh giá liệu có đội ngũ bảo vệ hay nhân sự cốt cán bên trong hay không, điều đó có thật hay không, điều này không dễ trả lời và trong ngành thường dựa vào lời truyền miệng. Vì vậy, có thể chúng ta sẽ phải gặp gỡ nhiều hơn, hay quen biết nhiều người hơn để phán đoán của mình được chính xác hơn.

Thứ hai, nó đã không được kiểm tra bởi cơ quan an ninh chuyên nghiệp bên thứ ba trong sáu tháng qua và kết quả kiểm tra an ninh đã được công khai. Yêu cầu này theo chúng tôi còn hơi khó.

Bởi vì toàn bộ ngành đang phát triển rất nhanh, nó đã được cơ quan an ninh kiểm tra trong vòng nửa năm, tốt nhất là cơ quan rất chuyên nghiệp và nổi tiếng, đồng thời có các báo cáo liên quan có thể được công khai xem xét. Tuy nhiên, chúng tôi nhận thấy rằng nhiều bên dự án không sẵn sàng tiết lộ báo cáo kiểm toán nội bộ, xét cho cùng, nó có thể liên quan đến quyền riêng tư của dự án, điều mà chúng tôi có thể hiểu được.

Tuy nhiên, chúng tôi cũng thấy rằng nhiều bên tham gia dự án ở nước ngoài thực sự rất sẵn lòng để các tổ chức kiểm toán này công khai báo cáo của họ một cách minh bạch.

Thứ ba, có các cơ quan an ninh bên thứ ba đã tiếp tục hợp tác chặt chẽ với nhau trong một thời gian dài. Như đã đề cập ở trên, bảo mật đòi hỏi sự phát triển lâu dài, vì vậy sẽ có một hoặc nhiều tổ chức bảo mật chuyên nghiệp bên thứ ba rất thân thiết để hợp tác. Nếu có một mối quan hệ liên tục như vậy, và có một số cuộc tấn công của thiên nga đen, nó cũng có thể ngăn chặn tổn thất nhanh hơn.

Theo chúng tôi, việc bị hack là điều tất yếu, không ai dám nói mình không bị hack, điều này là chắc chắn. Tất nhiên, có đồng xu bị đánh cắp hay không cũng không quan trọng, thực sự có một số làm tốt hơn và đồng xu không bị đánh cắp.

Nhưng việc bị tấn công trên một mạng công cộng như Internet có thể xảy ra mọi lúc, ngay cả bởi những người trong cuộc. Vì vậy, vì đây là một hiện tượng rất phổ biến, nên hãy bình tĩnh đối phó với nó.

Miễn là bạn không thua quá nhiều, hoặc bạn không có tâm lý xấu xa hay mờ ám, thì thực tế, bạn có thể nhận được sự ủng hộ rộng rãi hơn từ cộng đồng nếu bạn bình tĩnh.

Đây cũng là điểm thứ tư mà chúng ta đang nói đến, cần có những thành viên nòng cốt, thái độ của họ đối với an ninh phải cởi mở, cởi mở, nếu có vấn đề thì nên nhận lỗi thay vì chỉ hô khẩu hiệu.

Ví dụ: chúng tôi đã thấy rằng có nhiều bên dự án và các trang web chính thức của họ nói rằng bảo mật của tôi rất mạnh và xuất sắc. Ngay cả đối với lớp Zeus, cảm giác như tất cả các loại danh từ và tính từ sẽ xuất hiện, tất nhiên, những khẩu hiệu này thực sự không có ý nghĩa gì. Chúng tôi biết vấn đề của anh ấy có thể phát sinh ở đâu, bởi vì chúng tôi là một đội bảo mật rất chuyên nghiệp, đối với những hacker ngầm chuyên nghiệp đó, họ chắc chắn có thể biết rằng họ có thể lấy khẩu hiệu của bạn làm điểm quan trọng để bạn tát vào mặt bạn trong tương lai.

tiêu đề phụ

Chọn loại ví phần cứng nào an toàn?

Gần đây, chúng tôi cũng đã kiểm tra một số ví phần cứng. Sau khi kiểm tra các ví phần cứng này, chúng tôi đã đưa ra một bản tóm tắt về loại ví phần cứng nào an toàn và mạnh mẽ.

1. Tốt nhất là hỗ trợ đủ các loại tiền tệ chính thống;

Điều này không phải là tuyệt đối, chúng ta chỉ xem xét nó từ góc độ an tâm, bởi vì về nguyên tắc, một người sẽ không có quá hai ví phần cứng trong tay, bởi vì nếu bạn có quá nhiều cũng chưa chắc đã là điều tốt. nó thực sự an toàn Không phải nói rằng nó tuyệt đối an toàn và thực tế có rất ít ví phần cứng thực sự an toàn.

2. Các mô-đun phần cứng có liên quan được sử dụng ở cấp độ phần cứng đều là các tiêu chuẩn quốc tế hàng đầu và chuỗi cung ứng sản xuất và phân phối cũng ở cấp độ hàng đầu;

Nhiều nhóm tạo ví phần cứng chắc chắn không phải là những người hoàn toàn xuất sắc và chuyên nghiệp trong các loại chip phần cứng, mô-đun, thành phần, v.v. Lúc này phải dựa vào nhiều tiêu chuẩn quốc tế hàng đầu, dù không biết làm cũng phải sử dụng thành thạo. Bao gồm chuỗi cung ứng bạn chọn, sản xuất của bạn, bao gồm cả việc giao hàng của bạn, bạn phải chọn những sản phẩm chất lượng cao và hàng đầu này.

3. Thiết kế bảo mật ghép nối của các mô-đun phần sụn và phần cứng hoàn toàn là hàng đầu;

Phần sụn chỉ đơn giản là một hệ điều hành, nó chắc chắn không dựa trên Android và sứ mệnh của Android không phải là một chiếc ví phần cứng. Sự kết hợp giữa các mô-đun phần sụn và phần cứng cũng như thiết kế bảo mật kết hợp giữa chúng là hoàn toàn hàng đầu.

4. Phần cứng sử dụng bluetooth, USB và các mô-đun giao tiếp bên ngoài khác là công nghệ tiêu chuẩn an toàn mới nhất;

5. Ví phần cứng tốt nhất nên có màn hình để người dùng có thể xác nhận trực quan tính chính xác của địa chỉ mục tiêu khi chuyển tiền;

6. Môi trường máy tính nối mạng hoặc điện thoại di động được sử dụng bởi ví phần cứng hỗ trợ được đảm bảo là thuần túy và duy nhất;

Nếu không chắc thì đừng lẫn vào môi trường khác, ví dụ mình chắc thì mình cũng chả quan tâm, vì mình biết rất rõ độ bảo mật của máy mình. Nhưng nếu bạn không chắc chắn, tốt hơn nên nói rằng đó là một máy ảo độc lập, một máy tính độc lập, dành riêng cho một số thao tác trên các tài sản quan trọng.

7. Tốt nhất, ví phần cứng nên hỗ trợ quản lý bảo mật đa chữ ký;

Tính đa chữ ký hay nhiều bên là một cách hay. Tất nhiên, đa đảng vẫn còn một chặng đường dài phía trước, đa đảng có thể giải quyết tốt hơn các chuỗi cung ứng khác nhau, bởi vì cơ chế đa chữ ký không giống nhau và không có giải pháp chung nào. bên có thể biến giải pháp này thành một giải pháp tổng thể hơn mà chúng tôi rất mong đợi.

8. Tốt nhất là giới thiệu thực hành SSSS trong thiết kế hồ sơ ghi nhớ, lưu trữ và thậm chí cả đồng quản lý;

Nói một cách đơn giản, chẳng hạn, khi tôi chia phần ghi nhớ, nó cũng có thể được thiết kế thành 2-3 hoặc 3-5. Về phiên âm, tôi sẽ không nói rằng một người hoàn toàn ghi nhớ tất cả các từ. Tất nhiên, nếu sau khi sao chép, tôi có thể đảm bảo rằng các bản sao mà tôi đã sao chép ra, chẳng hạn như tôi sẵn sàng lấy hai bản sao trong số 2-3 bản sao của mình, thì nó có thể được đánh vần thành một danh sách từ dễ nhớ hoàn chỉnh.

9. Không thể bỏ qua bảo mật vật lý của ví phần cứng;

Ví dụ, nó có thể chống thấm nước, chống cháy, chống sét tốt hơn không, v.v. Ví dụ, nếu tôi ngã xuống sàn, nó có thể bị gãy, điều này rất xấu hổ. Và khi nó bị phá hủy thì không thể khôi phục lại hoàn hảo, điều này có thể tránh cho tôi bị một số người trong mắt xích cung ứng thao túng trong quá trình giao hàng.

10. Không thể bỏ qua cơ chế bảo mật nâng cấp của phần sụn và phần mềm hỗ trợ;

Bây giờ bạn có thể ổn, có thể bạn nâng cấp chương trình cơ sở, nếu việc tạo khóa riêng rất yếu và ngẫu nhiên, và một cửa sau được cấy độc hại, sẽ rất rắc rối. Nó không giống như Internet truyền thống nói rằng hãy nâng cấp kịp thời, đề xuất của chúng tôi dựa trên một tiền đề, đó là khi bạn có đủ hoặc nếu không có sơ hở nghiêm trọng thì đừng dễ dàng nâng cấp.

11. Nhóm bảo mật ví phần cứng có đủ sức mạnh để phân tích những thiếu sót của các đồng nghiệp và việc tiết lộ đã nhận được danh tiếng kỹ thuật rộng rãi trong ngành;

Những người tham gia bảo mật kỳ thực đều là tin tặc đứng sau lưng anh ta, giống như chúng ta về bảo mật, nếu bạn không có một số kiến ​​thức cơ bản về tin tặc, làm sao bạn có thể làm tốt công việc bảo mật? cũng bình thường. Mấu chốt là bạn phải thực sự có năng lực, bạn có thể đăng một số báo cáo nghiên cứu của mình, thay vì nói rằng bạn cứ đăng một số bài PR, nói rằng bạn rất an toàn.

12. Từ khâu tạo, lưu trữ đến sử dụng khóa riêng, tính bảo mật gần như tuyệt đối của khóa riêng là yêu cầu cơ bản nhất;

13. Mã nguồn mở.

Quan điểm của chúng tôi về nguồn mở là như vậy, không phải nói rằng bạn mở nguồn ngay khi bạn đến, điều này là không thực tế.

Mọi người đều biết ngành này, trên thực tế, trong nhiều trường hợp, kinh doanh là một thứ đẫm máu, nếu bạn mở mã nguồn, bạn có thể bị đồng nghiệp trực tiếp sao chép. Cho nên mã nguồn mở là một quá trình, không phải là vấn đề ý chí, khi tôi nói mã nguồn mở, ý tôi là mã nguồn mở, tôi cũng muốn kinh doanh, tôi muốn kiếm tiền, tôi muốn sinh sống. Nhưng nguồn mở là một quá trình dần dần, chúng tôi rất kỳ vọng khi bạn đứng đầu trong ngành, bạn có thể mạnh dạn mở nguồn, bạn sẽ luôn dẫn đầu và để họ đuổi kịp cũng không sao. cảm thấy rất tốt.

Trên đây là những chia sẻ của tôi, xin cảm ơn.