CDS:A16z：“是你的密鑰也不一定是你的幣”澄清關于非托管錢包的謬誤

“不是你的密鑰，不是你的加密貨幣”，這句話在加密圈很流行，它傳達了純粹主義者的加密密鑰管理哲學。在這種錢包安全模型中，只有個人可以直接和唯一地控制他們自己的私鑰——因此，他們擁有其加密資產的真正所有權。堅持這種強硬方法的加密錢包被稱為“非托管”錢包，這意味著沒有外部力量可以訪問獲取這些密鑰。

然而，情況并非如此簡單。一些備受矚目的“非托管”錢包黑客攻擊事件——包括今年8月份入侵8,000多個賬戶的Slope錢包黑客攻擊、2020年損失價值超過200萬美元的IOTA代幣的Trinity錢包黑客攻擊、導致攻擊者在2017年竊取150,000ETH的Parity錢包黑客攻擊，以及發現各種硬件錢包漏洞和其他事件——破壞了托管錢包和非托管錢包之間的傳統區別。在其中許多案例中，認為自己使用的是非托管錢包的受害者發現攻擊者能夠劫持他們的鑰匙。這就有點矛盾了，不是嗎？

事實上，這里面的故事比一句流行語所能捕捉到的要復雜得多。非托管錢包并沒有真正讓用戶完全控制他們的密鑰。這是因為這些錢包通常是由其他人的軟件或硬件創建和操作的。用戶不斷地信任其他人、產品和計算機程序。他們接受使用區塊鏈命令行界面、錢包軟件和設備、中心化平臺、智能合約代碼、去中心化應用程序以及介于這些東西之間的所有各種錢包連接集成。每個接觸點都會增加風險；所有這些互鎖部分的總和打破了非托管錢包的幻想。

a16z：以太坊PoS每年消耗的能源是YouTube的0.001%:4月12日消息，a16z Crypto 最新加密報告統計顯示，自從切換到 PoS 以來，以太坊每年使用的能源是 YouTube 每年消耗的能源的 0.001%。[2023/4/12 13:59:12]

實際上，托管權是非二元的。乍一看似乎是非托管的，實際上里面可能涉及許多托管要素，人們通常把這些要素的可靠性視為理所當然。傳統的二分法——托管與非托管——是錯誤的。

相反，最好更加細微地看待錢包。關鍵問題是：我愿意接受多大的攻擊面，以及我愿意承擔多少責任來消除對第三方的信任？一般來說，密鑰管理——錢包安全的基礎——可以分為三個區域，每個區域都有獨特的曝光機會。子類別如下：

密鑰生成

密鑰存儲

密鑰使用

本概述旨在幫助Web3用戶更好地了解通過上述標準保護其資產所涉及的復雜性。此外，我們的目標是幫助工程師識別和支持錢包開發中的常見故障點。我們希望通過應用本指南——源自我們在Docker、Anchorage、Facebook和a16z加密領域構建加密和安全系統的多年綜合經驗——將幫助人們避免安全事故，無論他們是在與之交互、參與還是構建Web3技術的過程中。

Web3游戲發行商Carry1st完成2000萬美元融資，a16z領投:1月19日消息，Web3 和社交游戲發行商 Carry1st 在 A 輪融資中籌集了 2000 萬美元，以進一步擴大在非洲的產品開發，本輪投資由硅谷風險投資公司 Andreessen Horowitz （A16z）領頭， Avenir 和谷歌母公司 Alphabet 參投，Carry1st 的現有支持者，包括 Riot Games、Konvoy Ventures、Raine Ventures 和 TTV Capital 繼續支持，一些著名的個人投資者也參與其中，包括Nas和Chipper Cash、Sky Mavis 和Yield Guild Games的創始人。

Carry1st 將利用這筆現金注入來擴大其內容組合，壯大內部開發團隊，并引領新的增長戰略以吸引數千萬新用戶。Carry1st 表示，它提供了一個全棧發布解決方案，為其合作伙伴處理用戶獲取、現場運營、社區管理和貨幣化。其增長戰略的一個關鍵支柱是開發基礎設施以支持“玩賺”（P2E）游戲，這使用戶可以通過他們的游戲體驗獲利。（Cointelegraph）[2022/1/20 9:00:06]

下面，我們將介紹當今存在的加密錢包安全和托管平臺的常見特征和缺陷。我們還涵蓋了我們認為在未來幾個月和幾年內最需要關注和發展的領域，以提高用戶Web3體驗的安全性。

即將離職的a16z合伙人Katie Haun尋求為加密投資基金籌集9億美元:1月7日消息，據英國《金融時報》報道，即將成為Andreesen Horowtiz（a16z）前合伙人的Katie Haun（Kathryn Haun）正尋求在離職后為兩只加密投資基金籌集至少9億美元的資金。

知情人士稱，Haun的目標是為一只針對加密初創公司的早期投資基金籌集3億美元，為一只專注于大型公司和數字代幣的基金籌集6億美元。

在上個月宣布將離開a16z后，Haun表示將創辦自己的風險投資公司“KRH”。2022年1月，NFT市場Opensea以133億美元投后估值完成3億美元融資，KRH參投。（CoinDesk）[2022/1/7 8:32:41]

密鑰生成：錢包安全性

任何關于錢包安全性的討論都必須從密鑰生成開始，即創建加密密鑰的過程。無論錢包被認為是托管的還是非托管的，密鑰生成步驟的安全屬性對于此后的密鑰安全至關重要。在密鑰生成過程中，需要牢記三個首要問題：使用可靠的代碼、正確實現代碼以及安全地處理輸出。

A16z領投Iron Fish的2800萬美元融資:金色財經報道，去中心化區塊鏈網絡Iron Fish在由Andreessen Horowitz(a16z)領導的A輪融資中籌集了2770萬美元。該輪融資的其他投資者包括紅杉資本、Electric Capital、Meta Stable、Arrington XRP、Terra聯合創始人Do Kwon、Thesis首席執行官Matt Luongo和Anchorage聯合創始人Nathan McCauley。據悉，Iron Fish于4月推出了第一個測試網，并表示自那以后已經吸引了近2000名礦工加入其社區。該公司現在正在啟動一個激勵測試網，該網絡將向成員獎勵領導力積分，這些積分將通向未來的主網Iron Fish代幣。[2021/12/1 12:42:07]

如果您不是加密專家，則可能很難驗證本書是否完成了以下所有因素。檢查您是否可以獲得受信任的審計報告，一些錢包提供商會在其官方網站或Github存儲庫上發布該報告。此外，自己進行研究，以確定錢包背后是否有一家信譽良好的公司。如果背景信息稀少，重要的用戶和開發人員活動可能是衡量該錢包聲譽的下一個指標。

請遵循這些準則以減少您的風險敞口。如果錢包未通過以下檢查，請逃離這個錢包。

硅谷風投a16z：加密行業已走過三個周期:硅谷風投機構Andreessen Horowitz（a16z）昨日發文稱，加密貨幣行業已歷經了三個周期。第一次周期的頂峰出現在2011年；第二次出現在2013年，第三次則是在2017年。這些周期看似混亂，但卻有著一個基本的順序，大致特征是：

1. 起初，比特幣和其他加密資產的價格開始上漲；

2. 人們對加密貨幣的興趣增長，社交媒體熱度不斷提高；

3. 行業迎來更多的新面孔，這些人會貢獻新的靈感和技術；

4. 更多的項目或初創公司出現；

5. 新的項目、公司會發布新的產品，這會進一步激發更多人的靈感，最終進入下一個周期。[2020/5/16]

使用不是自己推出密碼的錢包

密碼學家有一句話：“不要推出自己的加密。”這個要點類似于“不要重新發明輪子”的格言。車輪完好無損，任何從頭開始重建車輪的嘗試都可能導致產品質量更差。加密也是如此，這是一門很難完全正確的科學。組成錢包的代碼應該以運行良好而聞名。選擇寫得不好的軟件——或試圖從頭開發自己的替代軟件——可能會導致諸如密鑰泄露或向未經授權的各方泄露秘密信息等事故。這就是Profanity的虛榮地址工具中最近被利用的漏洞背后的原因。首先，應該清楚有問題的錢包使用了經過審核且信譽良好的密鑰生成庫和流程。

使用再三測量的錢包

即使代碼使用有信譽的密碼庫，它仍然必須正確集成。經過審查的軟件通常會默認設置正確的參數，但在執行過程中可能存在差距。例如，需要強大的熵源或數學隨機性劑量來使要生成的密鑰不可預測，因此更安全。對于某些密鑰生成過程，例如對于許多多方計算(MPC)算法，其中必須生成和協調許多單獨的密鑰，錢包應該遵循算法指定的精確協議。該算法可能還需要多輪計算以及刷新密鑰，錢包必須正確集成以維護資金的安全性。

使用可以保守秘密的錢包

密鑰生成過程的最后階段涉及軟件的實際操作和輸出。請注意密鑰的生成位置和形式。

理想情況下，密鑰應該在獨立的硬件中生成，并且信息應該使用有信譽的算法加密。一個需要避免的例子是數據加密標準，或DES，今天被認為是糟糕的。以明文形式留下的密鑰——尤其是在內存中、磁盤上或位于被稱為“交換”的這兩個地方之間的中間區域——是一個主要的安全風險。一般來說，密鑰材料不應離開生成它的硬件，也不應放到其他人可以訪問的網絡上。

今年夏天被黑的錢包Slope的密鑰在生成后以明文形式登錄到外部服務器。這種安全漏洞可能會出現在代碼的審計或開源實現中。對缺乏透明度的錢包——以封閉源代碼為特色，沒有對公眾可用的第三方安全審計——應該發出危險信號。

密鑰用途：錢包安全

生成和存儲密鑰后，它們可用于創建授權交易的數字簽名。組合中的軟件和硬件組件越多，風險就越大。為降低風險，錢包應遵守以下授權和身份驗證指南。

信任，但也要驗證

錢包應該需要身份驗證。換句話說，他們應該驗證用戶是他們所說的人，并且只有授權方才能訪問錢包的內容。這里最常見的保護措施是PIN碼或密碼。與往常一樣，這些應該足夠長和復雜——使用許多不同類型的字符——才能最大限度地發揮作用。更高級的身份驗證形式可以包括生物識別或基于公鑰加密的批準，例如來自多個其他安全設備的加密簽名。

不要自己制作密碼庫

錢包應該使用完善的密碼庫。做一些研究以確保它們經過審計和安全，以避免密鑰材料泄漏或私鑰完全丟失。使問題復雜化的是，即使是受信任的庫也可能具有不安全的接口，就像最近這些Ed25519庫的情況一樣。當心！

隨機數重用

一個經過充分研究的密鑰使用陷阱是某些加密簽名參數的無意重用。一些簽名方案可能需要一個nonce含義，“使用一次的數字”，一個僅意味著在系統中使用一次的任意數字。橢圓曲線數字簽名算法(ECDSA)就是這樣一種簽名方案。如果使用ECDSA重用nonce，則可能導致密鑰泄露。其他各種算法不受影響，因此，像往常一樣，確保使用完善的密碼庫。但這種攻擊向量之前已經在web3之外的高調黑客攻擊中被利用，例如2010年索尼PlayStation3黑客攻擊。

一個密鑰只用于一個目的

另一個最佳實踐是避免將密鑰重復用于多個目的。例如，應為加密和簽名保留單獨的密鑰。這遵循了在被攻破情況下的“最小特權”原則，這意味著對任何資產、信息或操作的訪問應僅限于系統工作絕對需要它的各方或代碼。如果實施得當，“最小特權”原則可以極大地限制成功攻擊的“爆炸半徑”。不同的密鑰將根據其用途對備份和訪問管理有不同的要求。在web3的背景下，最好的做法是在資產和錢包之間分離密鑰和助記詞，因此一個賬戶的泄露不會影響其他賬戶。

結論

密鑰所有權的托管或非托管性質并不像傳統思維所認為的那樣非黑即白。密鑰管理中涉及的許多活動部分使情況變得復雜——從密鑰生成到存儲再到使用。區塊鏈涉及的每一個硬件或軟件都會帶來風險，即使是所謂的非托管錢包選項也會面臨托管類型的風險。

對于未來，我們預計將進行更多的開發工作，以保護錢包免受攻擊并減輕上述風險。改進領域包括：

跨移動和桌面操作系統共享安全開源密鑰管理和事務簽名庫

共享的開源交易審批框架

具體來說，我們會特別興奮地看到共享和開源的發展：

密鑰生成庫可在不同的存儲后端實現一流的安全性

用于移動和桌面操作系統的密鑰管理和事務簽名庫

交易批準流程框架，實施強大的因子驗證，例如生物識別、基于PKI的批準、授權恢復等。

上面的列表并不詳盡，但它是一個很好的起點。這就是說，情況比“不是你的密鑰，不是你的加密貨幣”的口號所暗示的要復雜得多。考慮到從生成和存儲到使用的許多交互部分和階段，密鑰擁有權是一件棘手的事情。

希望這篇文章對大家有一定的幫助。

對本文感興趣的可以私我哦~歡迎志同道合的幣圈人一起探討~

Tags：CDSECDDSACDS幣是什么幣ECD價格ECD幣DSA幣是什么幣

fil幣價格今日行情