5月28日，法国硬件加密钱包领先制造商Ledger正式发布了全球第一款以有机薄膜电晶体（Organic Thin Film Transistor，OTFT）打造的曲面电子纸触控显示屏硬件加密钱包Ledger Stax。Ledger Stax的独特之处在于采用了全球首创曲面OTFT显示屏幕，在塑胶基板上建立E Ink电子纸涂层，打造可弯折、不易破损的电子纸显示屏并且带有触控功能。相较于传统玻璃基板，OTFT制程温度从350℃下降至100℃以下，大幅降低能源耗用。这意味着Ledger Stax钱包电子纸显示屏的好处在于耗电量极低并且可以保持常亮状态，用户可以直接在钱包上看到自己持有的加密货币余额，无需额外连接设备。只有信用卡般大小的Ledger Stax，能安全存放你的密码货币资产，具有超高的能源效率，实现了触控屏幕与安全元素的连结共存，确保用户能够安全且便捷地使用装置。Ledger Stax所搭载的曲面柔性电子纸显示器来自DKE东方科脉，柔性电子纸的商业化应用也将为全球用户带来更卓越的使用体验。DKE自成立柔性电子纸研发团队以来，致力于对柔性电子纸关键技术领域广泛、深入的技术攻关与革新，携手电子纸行业合作伙伴运用各自技术、制造及市场优势，共同开发及拓展柔性电子纸显示技术在各项物联网智能产品的相关应用，实现绿色发展的同时，为全球用户的智慧生活带来更多的新变化和新体验。DKE往期回顾  1预见2024包装趋势 | DKE电子纸携手逐“绿”，让包装业含“绿”量十足2凝心聚力超越期望 | DKE东方科脉2024春季团建活动圆满举行！3是平凡辛劳也是光荣闪耀 | DKE东方科脉祝大家劳动节快乐！...

 点击上方蓝字关注 InfStones01 安装币安链插件钱包点击该链接下载并安装浏览器插件钱包：Binance Chain Wallethttps://chrome.google.com/webstore/detail/binance-chain-wallet/fhbohimaelbohpjbbldcngcnapndodjp?utm_source=chrome-ntp-icon02 创建或导入钱包按照币安链插件钱包提示创建或导入币安链钱包（不要选币安智能链），并向钱包内转入足够的BNB。在导入钱包时选择“币安链网络”Ledger钱包用户可选：连接Ledger钱包插入Ledger钱包。打开插件钱包，点击右上角，点击“硬件钱包”，点击连接。选择您要导入的地址并解锁。03 投票PC端打开给InfStones节点委托的网址：https://www.binance.org/en/staking/validator/bva1a7n56r44h4tlgrk3mazxx6cavhgpkrm7a8p6g4点击右上角 “Connect Wallet”，选择“Binance Chain Wallet”，再次点击“Connect Wallet”。显示如下图则连接成功：点击“Delegate”输入您要投票的BNB数量，点击“Delegate” (最低1BNB)确认委托数量与手续费（固定为0.001BNB），点击“确认”使用Ledger钱包的用户请在Ledger上确认并签署交易04 确认在委托页面点击右上角“My Staking”，即可确认当前委托，并可根据需要执行“undelegate”、“Redelegate”等取消投票、重新投票操作。在委托过程中如有问题，请添加微信联系微信号：wushuizichen长按扫码关注 InfStones 关于 InfStonesInfStones 由美国硅谷资深云服务与区块链团队打造，是全球最大的区块链云计算服务商。InfStones 致力于降低区块链的访问与使用门槛，让客户更便捷地在数以百计的区块链网络上建立自己的基础设施。目前 InfStones 已为国际上 50 多家大型机构客户提供区块链服务，已有超过 50 条公链的数以千计的节点在 InfStones 的监控下稳定运行。...

链闻 ChainNews微信号：chainnewscom美国用户数占三分之一，推特员工最爱 Ledger。撰文：7一份包含超过 27 万条账户信息的数据库文件成为了成为了比特币硬件钱包制造商 Ledger 挥之不去的梦魇，这份文件在 RaidForums（一个黑客用于买卖及共享数据的平台）上被已极低的售价卖出，并在极短的时间内遭到了相当大范围地扩散。而这对于长期以来一直强调提供最高保护等级服务的 Ledger 来说，无疑是一次「致命的挑战」。今年 7 月 Ledger 官方曾经公开披露过一次黑客攻击行为，并指出在今年 6 月份曾有 9500 名用户的信息被黑客窃取，不过从网上流传的最新版本的数据来看，Ledger 在今年 6 月份遭黑客攻击时泄露的用户数据恐怕远不止 9500 这个数字。在过去十几个小时的时间里，Ledger Hack 这个 Twitter 标签下已经有大量用户通过对于泄露文件的查询比对确认了这个文档的真实性，也就是说，遭到泄露的数据总量实际上达到了 272852 条之多，而这部分数据包含用户的电子邮箱、手机号、邮编以及收件地址（这个地址大概率是用户的公司地址甚至家庭住址）。Ledger 官方推特目前也已经公开表示这份文档「看似」正是黑客在今年 6 月的攻击中窃取的数据，并在官方公告中再次向用户表达了歉意，并称避免类似情况再度发生是目前团队工作的重中之重，还承诺称 Ledger 未来一定会更加安全。但是，Ledger CEO Pascal Gauthier 在接受采访时已经明确表态，Ledger 将不会对信息遭泄露的用户进行任何形式的赔偿。考虑到 Ledger 官方数据库中并不会保存用户硬件钱包的关键信息，所以这次数据泄露对于用户的资产来说暂时不会造成直接影响，不过多种联系方式遭到「绑定泄露」难免会造成一些潜在危害，因此如若在网上流传的文档中涉及到了个人信息，更换电子邮箱、手机号甚至搬家都可以算是主动控制风险的有效方案。不过也正是本次信息泄露事件，给了我们一个难得的为 Ledger 做用户画像的机会，接下来笔者会在不涉及任何个人用户信息的前提下，分享一些关于 Ledger 用户奇怪的「冷知识」，如果你也对究竟哪些人真正购买了硬件钱包感兴趣，那么接下来的内容应该可以解决你的部分疑惑。美国市场占比达三分之一「炒币」热度无法与用户量划等号在 272852 条信息中，美国用户数量占比达到了三分之一，达 91442 条，德国、英国、法国以及加拿大的用户数量位居 2-5 位，但是这四个国家的用户数量总和距离美国用户量仍然存在较大差距。中国大陆的用户数量为 2933 条，位居主要国家及地区排行中的第 17 位，而如若把港澳台地区合并计算，中国的 Ledger 用户总量可以超越意大利升至总排行榜的第十位。从以下数据中可以看出，北美以及欧洲仍是 Ledger 的主要目标市场，虽然东亚以及东南亚在加密货币市场的热度上已经有了非常明显的提升，但是用户对于硬件钱包的需求仍处在较低的水准之上，「炒币大国」中日韩在这份排名中位次并不算高。另外一个值得关注的点在于，委内瑞拉民众虽然对于比特币的场外交易需求高涨，但是由于国内经济状况糟糕，Ledger 为代表的硬件钱包成本对于该国用户来说仍然是一个比较明显的负担，因此虽然委内瑞拉的比特币场外交易火热，但是 Ledger 的用户量非常有限，27 万条数据中仅有 15 条。中国大陆地区北上广并不意外地成为用户密集区域笔者还整理出了信息中包含明确中国大陆地区省份信息的数据，不过由于文档中有大量信息缺失，以下结果是并未在单纯的邮编比对的基础上进行的，仅包含附带明确地址的信息，因此数据总量和上图呈现的中国大陆地区总量存在一定偏差，相比绝对数额比例的价值相对更高。上海、北京以及广东省并不意外地排名前三位，而排名靠后的基本上都是中西部省份。值得一提的是，目前国内矿场相对集中的地区并没有出现明显的硬件钱包需求，由此可见这类产品的目标用户即个人投资者，而对应地区的经济状况以及对于加密货币的接受度就成了影响 Ledger 用户数量的主要因素，甚至可以说是「绝对因素」。美国经济发达的大城市用户量也明显更高略微有些令人意外的是，硅谷所在的旧金山并没有在这份排名上拔得头筹，纽约、洛杉矶以及布鲁克林超越了这个也许是全世界对于加密货币接受度最高的地区排名前三位，由此可见目前美国民众整体对于加密货币的接受度已经有所提升，人口更为密集的大城市 Ledger 的用户量也出现了同比例的上升。几大科技巨头哪家员工更爱 Ledger在统计美国城市排名的过程中，笔者还特意查询了一下预留地址为包括 FAANG 以及微软和 Twitter 在内的几大科技巨头总部所在地点的用户量，并发现了一些有趣的结果。上面被提及的七大科技巨头中，时常被市场一并提及的 FAANG 的用户信息数量远不及 Twitter。Twitter 总部地址（1355 Market Street Suite 900 San Francisco, CA 94103）共有 111 条用户信息；Facebook 总部地址（1 Hacker Way, Menlo Park, CA 94025）有 35 条信息；苹果总部地址（1 Infinite Loop, Cupertino, CA 95014） 39 条；亚马逊总部地址（410 Terry Avenue North, Seattle, WA 98109） 27 条；Netflix 总部地址（100 Winchester Circle, Los Gatos, CA 95032） 23 条；谷歌总部地址（Mountain View, CA 94043） 46 条；此外微软总部地址（1 MICROSOFT WAY , REDMOND, WA 98052-6399）共有 40 条信息。虽然这种地址数量并无法反应对应企业员工使用 Ledger 的总用户量，但是 Twitter 方面数据的明显占优，或在侧面显示出了加密货币在社交媒体平台上的传播属性。出于好奇，笔者还查询了一下位于深圳南山区深南大道的腾讯总部以及位于杭州余杭区文一西路的阿里总部的信息数，二者分别都只搜出了 1 条结果，不过考虑到中文信息的缺失，加之中国大陆总体样本数偏低，所以参考价值并不高。如果你想在 Ledger 上刻名字该注意什么？这也许是本文中「最冷」的一条信息。笔者盘点了 27 万条信息中出现频率最高的姓名，其中 Micheal、David 和 Daniel 高居前三，其中名叫 Micheal 的用户总量即使拿到第一张图，也就是那张全球主要国家及地区的用户排名中，也能位列第 12 位。当然由于美国用户占比极高，因此这一排名实际上和美国民众姓名中的高频词汇排序非常相似，不过如果你想在自己的 Ledger 上来一把个性化的激光篆刻，那么该怎么避免「不个性」，下面这张表会帮到你。链闻精选｜读懂算法稳定币精选好文请点击「阅读原文」查看昔日明星算法稳定币 Basis 因监管压力胎死腹中，匿名团队接管后历时两年，Basis Cash 上线。而在此之外，一众新兴算法稳定币随着 DeFi 火爆相继登台亮相，这其中包括备受追捧的 Ampleforth、Empty Set Dollar（ESD） 与 Terra。 本期链闻精选带大家了解算法稳定币的杰出代表，它们面临怎样的机遇和挑战？👇在这里充值信仰 ...

不知道大家还记不记得7月15日,大量名人和名企账号号被盗,黑客利用他们的账号发布比特币诈骗链接的事件,也正因为这个事件,很多投资者对自己比特币的安全产生了担忧,虽然市面上有很多bitcoin wallet（btc钱包）,但是有些bitcoin wallet（btc钱包）的安全系数还是过低,这可愁坏了投资者,那么,比特币在字哪个钱包最安全呢?下面小编给大家盘点了五大安全的bitcoin wallet（btc钱包）,以供投资者参考。1.Ledger钱包Ledger钱包易用性一般,安全性较高,属于硬件钱包。比特币硬件钱包制造商Ledger是数字货币安全领域技术领先的公司之一,能为消费者和企业提供值得信赖的硬件。2015年,Ledger在种子轮融资中筹集到了130万欧元(约150万美美元)。2016年,Leger采用TEE(可信执行环境)和HSM(硬件安全模块)解决方案在B2B市场创建了自己的操作环境。2. TrezorTrezor易用性一般,安全性较高,属于硬件钱包。Trezor是一个硬件钱包,它具有高安全性,同时又不会以牺牲了方便性为代价。Trezor可以通过USB连接电脑并签署比特币交易,不需要允许计算机访问私人信息。与冷储存(cold stoprage)不同,TREZOR在连接到一个在线设备时是可以实现交易的。这意味着即便是在使用不安全的电脑的时时候,使用比特币都是十分安全的。3. Bitget 钱包Bitget钱包 是一款 Web3 加密钱包（web3.bitget.site/zh-CN/assets），支持 90+ 条主链、25 万+ 种代币，支持去中心化交易平台。 立即创建钱包，体验最佳交易价格和流畅的 DApp 交互！与币安、OKEX 或火币（火币网）这类交易所不一样，在 Bitget钱包 上购买比特币不需要先进行 KYC 验证，同时安全性也有保障，你只需要通过 Bitget钱包 中的去中心化交易平台 Swap 进行购买即可。4. Coinbase 钱包作为知名的数字货币交易平台，Coinbase钱包拥有广泛的用户基础和良好的信誉。该钱包提供安全、便捷的存储和交易服务，支持多种数字货币。相比于其他钱包，Coinbase钱包的交易手续费较高。此外，对于中国用户来说，由于政策限制，使用体验可能不佳。5. Electrum 钱包Electrum钱包是一款轻量级bitcoin wallet（btc钱包），注重安全性和易用性。它支持多种操作系统，拥有广泛的社区支持和开发资源。缺点：Electrum钱包不支持多种数字货币，对于有需求的用户来说可能不够全面。通过以上介绍,相信大家对于bitcoin wallet（btc钱包）有所了解,比特市币钱包的形态有PC钱包,手机APP钱包,硬盘钱包等等,PC钱包和手机APP钱包被称为热钱包,其运行在联网的设备上,比如电脑、手机或者平板设备,硬件钱包又称冷钱包,其是一个实体电子设备,仅仅是为了比特币安全而色到建,bitcoin wallet（btc钱包）有很多,所以投资者在选择bitcoin wallet（btc钱包）的时候,一定要以安全性为主,同时币圈子小编友情提醒醒,投资者一定要全方位注意安全,更加别疏于对自己资产安全的保护,防火防盗防黑客,谨防泄露自己的交易所听账号密码、各种钱包密码。...

最新ellipal硬件錢包優惠碼,黑五大促,70美元折扣 簡介 Ellipal 是一家專註於為加密資產管理和區塊鏈安全提供一站式解決方案的區塊鏈公司。Ellipal打造了最安全的加密資產冷錢包，與全人類共享便攜、快速的加密貨幣服務系統。Ellipal管理NFTs，並支持包括BTC、ETH、LTC、DOGE和DASH等在內的10,000多種代幣。 Ellipal冷錢包官網: https://www.ellipal.com/ 優惠購買地址: https://www.ellipal.com/products/ellipal-titan-bundle Ellipal還有一款與Ellipal Titan配對的多功能應用程序，允許用戶進入一個生態系統購買、置換和持有加密|幣，訪問數百個dApp。FIO Send將集成到該應用程序中，通過消除向錯誤地址或錯誤鏈發送加密|幣的可能性，為Ellipal用戶提供簡化的用戶體驗和增強的安全措施。用戶不再需要擔心輸入錯誤的字元或遭遇任何可能在交易過程中改變地址的黑客或攻擊。 ...

据报道，威胁行为者通过加密硬件钱包制造商Ledger开发的“@ledgerhq/connect-kit” npm模块的恶意版本，导致逾60万美元的虚拟资产被盗。一旦发现这次攻击，Ledger立即发布了其npm模块的新版本（1.1.8版本）。恶意的npm模块（2e6d5f64604be31）已被从存储库中删除。威胁行为者对一位前员工发起了钓鱼攻击，获取了他的凭据和对Ledger的NPMJS账户的访问权限。Ledger主席兼首席执行官Pascal Gauthier在一封信中写道：“今天，我们在Ledger Connect Kit中发现了一个漏洞，这是一个实现了按钮功能的JavaScript库，允许用户将他们的Ledger设备连接到第三方DApps（连接钱包的网站）。这个漏洞是由于一位前员工成为钓鱼攻击的受害者，导致恶意文件被上传到Ledger的NPMJS（一个用于在应用程序之间共享JavaScript代码的软件包管理器）。我们与合作伙伴WalletConnect一起迅速采取行动，删除和停用恶意代码，发现后的40分钟内完成了这一过程。这是行业快速共同应对安全挑战的一个好例子。”最初的观察表明，该账户可能没有启用多因素身份验证（MFA）。然后，威胁行为者上传了三个带有加密资产枯竭恶意软件的模块版本（1.1.5、1.1.6和1.1.7）。由于这次供应链攻击，依赖于被感染模块的每个应用程序都受到了损害。恶意代码使用一个恶意的WalletConnect项目来劫持资金并将其转移到攻击者控制的钱包。Ledger的安全团队接到警报后，在40分钟内解决了这个问题。报告继续说：“今天上午CET时间，一位前Ledger员工成为钓鱼攻击的受害者，攻击者获得了他们的NPMJS账户的访问权限。攻击者发布了Ledger Connect Kit的恶意版本（影响1.1.5、1.1.6和1.1.7版本）。恶意代码使用一个恶意的WalletConnect项目将资金重定向到黑客的钱包。Ledger的技术和安全团队接到警报后，40分钟内部署了修复措施。”恶意模块的恶意版本在线上存在了大约5个小时。Ledger在WalletConnect的帮助下迅速停用了这个恶意项目。Ledger、WalletConnect及其合作伙伴确定了攻击者的钱包地址（0x658729879fca881d9526480b82ae00efc54b5c2d），而Tether则冻结了他们的资金。...

XRP和电子货币现在我们继续回到这节关键经文：וַתָּבוֹא חַיָּה בְמוֹ-אָרֶב;  וּבִמְעוֹנֹתֶיהָ תִשְׁכֹּן.百兽进入穴中、卧在洞内（伯37:8）这里的穴（אָרֶב）是什么，她的洞（וּבִמְעוֹנֹתֶיהָ）又是什么？אָרֶב翻译成穴，但字面意思是埋伏，暗示这是一个秘密行动。וַתָּבוֹא חַיָּה בְמוֹ-אָרֶב（兽进入，借着埋伏）的数值是689，正好是אֶקְס אַר פִּי לֶדְגֶ'ר（XRP账本）的数值。XRP作为英文缩写通常不翻译，但如果按其发音翻译成希伯来文是אֶקְס אַר פִּי，数值是452，XRP Ledger作为一个品牌按发音翻译成希伯来文是אֶקְס אַר פִּי לֶדְגֶ'ר，数值是689。瑞波币账本 (XRP Ledger) 是一个去中心化的公共区块链，旨在实现快速、低成本的交易。XRP Ledger每秒可以处理数千笔交易，交易结算时间仅为3-5秒，每笔交易费用仅需0.0001个XRP币，采用去中心化的开源系统，支持跨货币或跨国界的原子交易，实现无缝支付。电子货币要高速低成本地交易需要一个理想的交易平台，这个平台就是瑞波瑞波币账本 (XRP Ledger)。这就是上面经文隐藏的奥秘，这里的兽是指中央银行的电子货币，而她的洞穴是XRP，所以，XRP起的是桥梁的作用。וּבִמְעוֹנֹתֶיהָ תִשְׁכֹּן（她卧在洞内）的数值是1359，等于453 x 3，其中453是兽展开（חית יוד הי）的数值但וּבִמְעוֹנֹתֶיהָ（她的洞）的数值是589，得出חֵיל יִשְׂרָאֵל（以色列的财富）的数值，意思是，这是以色列隐藏的财富。瑞波币的设计是1万美元一枚，在此价格之上瑞波币才能最高效地在区块链上实现快速低成本的交易。1万美元（עֲשֶׂרֶת אֲלָפִים דוֹלָר）的数值是1371，减去רִיפְּל אֶקְס אַר פִּי（瑞波币XRP）的数值772后等于599，得出上面提及的量子计算机，人工智能，区块链的平均数。...

Solana绝对是今年加密货币界的大红人！大家都在热烈讨论这个项目，想象它会给加密世界的未来带来怎样的变革。是不是觉得新晋的加密爱好者们都很酷？他们正迈出探索这个领域的第一步，寻找合适的钱包。无论是准备长期持有Solana，还是打算购买Solana NFT，选对钱包可是关键哦！Solana钱包都有哪些？Phantom 钱包它不仅界面简洁易用，还拥有强大的功能，是Solana生态系统的佼佼者！1.轻松上手：Phantom钱包的界面设计非常人性化，让你在短时间内就能掌握所有操作。无论是在移动设备还是浏览器上，你都能享受到流畅的使用体验。它甚至被誉为Solana生态系统的MetaMask！2.赚取质押奖励：Phantom钱包让你轻松参与Solana质押。只需将SOL币质押给独立验证者，你就能获得可观的奖励。据历史数据，Solana的质押奖励年化率高达5.5%！3.多链支持：Phantom钱包支持以太坊、Solana和Polygon等多个区块链。你可以将现有的ETH和SOL钱包导入Phantom，实现在一个地方管理所有资产的便利。4.高度安全：Phantom钱包与Ledger等硬件钱包紧密集成，大大提高了你的资产安全。你的资产信息始终在你的掌控之中，让你安心享受区块链世界的乐趣。Bitget钱包有没有想过让你的Solana资产的管理变得更轻松、更酷炫？Bitget钱包就是你的解决方案！凭借强大的Solana功能，它已经赢得了无数用户的青睐和信赖。无论你是处理SOL币、SPL-20代币，还是想要拥有那些炫酷的Solana NFT，Bitget钱包都能为你提供全方位的支持！就像你的私人助手一样，帮你轻松打理一切资产事宜。这款Web3钱包不仅功能强大，还超级便捷！你可以在iOS、Android和Chrome扩展程序等多个平台上使用它。立即下载Bitget钱包，开启你的Solana冒险之旅吧！想知道如何使用Bitget钱包购买Solana吗？别担心，让我来教你！首先，打开Bitget钱包官方网站（web3.bitget.com/en）或通过设备的应用商店找到并下载钱包。安装完成后，打开钱包并设置针对Solana的Web3钱包。最后，在钱包主页上点击“购买”选项，选择“Solana”，然后按照提示完成购买。在就开始使用Bitget钱包，让你的Solana资产管理变得更轻松、更酷炫吧！Coinbase钱包Coinbase钱包是Coinbase设计的非托管钱包。 该钱包可让您安全访问您在 Solana、以太坊、比特币、Polygon、Dogecoin 等上持有的加密货币界面友好如斯：就像Coinbase交易所一样，这个钱包的设计也是为了让你感到宾至如归。浏览器扩展和移动应用，让你随时掌握资产的动态。硬件级安全：放心安心！Coinbase钱包还与Ledger等硬件钱包无缝集成，进一步提升你的资产安全。新手不怕，有Coinbase钱包在！ 加密货币的世界已经为你敞开大门，只等你大展身手！赶紧下载体验吧！Ledger守护资产，从Ledger开始！ 在这个数字货币风起云涌的时代，如何确保你的加密货币资产安全无虞？ Ledger硬件钱包就是你最强大的盟友！与其他钱包不同，它以离线模式存储你的私钥，将你的资产置于黑客攻击之外！安全至上的选择：Ledger就像一个全副武装的铁甲骑士，时刻守护着你的数字宝藏。在线下环境中，黑客无法施展他们的网络钓鱼等手段，因为你的私钥永远不会暴露在危险的网络中。性价比之选：对于那些寻求硬件钱包的投资者来说，Ledger提供了一个相对实惠的选择。现在，你只需79美元，就可以拥有一个安全可靠的Ledger Nano S！多平台集成：更棒的是，Ledger与众多软件钱包达成了联盟。无论你使用的是Phantom还是Coinbase钱包，都可以与Ledger无缝对接！简化资产管理：在安全的基础上，Ledger还为你提供了便捷的资产管理系统。你可以随时查看、交易和管理你的加密货币，一切尽在指尖。挑选 Solana 钱包应该注意什么？选择 Solana 钱包时应牢记以下几个因素。安全性：确保您选择的钱包能够采取措施保护您的资产免遭黑客攻击和盗窃。协议支持：如果您想尝试 DeFi 和 NFT，您应该找到一个可以连接到流行协议和市场的钱包。多区块链支持：如果您想将所有加密货币保存在一个钱包中，您可能需要考虑开始使用支持多个区块链的钱包。...

近日，硬件钱包 Ledger 发布的新功能“Ledger Recover”引发了广泛争议。本文将探讨 Ledger 这一助记词备份服务背后的争议原因，并探讨其与MPC钱包私钥管理方式的异同。5月16日晚，硬件钱包 Ledger 发布了 Nano X 冷钱包 2.2.1 固件更新，并宣布即将引入“Ledger Recover”功能。该功能采用了片段式储存的方式将用户助记词 (Secret Recovery Phrase) 分成三个片段，并要求用户提供个人身份信息作为绑定。令Ledger始料未及的是，这一功能的推出，引发了其用户社区的强烈反弹，许多人纷纷表达了对这一功能在个人隐私和安全方面的担忧。根据 Ledger 介绍，Ledger Recover 本质是一种基于身份的私钥恢复服务，为客户提供助记词备份。如果客户丢失或无法访问助记词，可通过该服务使用 Ledger 设备安全恢复私钥。助记词将经过加密、复制并分成三个片段，每个片段各由一家独立公司提供保护，三家独立公司分别是 Coincover、Ledger 和一个独立的备份服务提供商。当客户想要恢复私钥时，其中两方会将片段发回 Ledger 设备，重新组装构建私钥。此外，Ledger Recover 需要用户向 Ledger 的身份验证服务商 Onfido 提交个人信息。依照 Ledger 的设计，这种备份方式旨在增加数据丢失的容错性，却引发了一些用户对数据安全的担忧和对 Ledger 的信任危机。有用户担心，将个人信息存储在多个第三方的系统中可能会增加被黑客攻击的风险，导致资产的损失。还有一些用户指出，Ledger 一直强调用户的私钥永远不会离开设备，这也是其受欢迎的原因之一，而新功能的引入似乎违背了这一承诺，并且与加密社区的隐私价值观也不相符。Ledger 私钥永不触网？ 与其他硬件钱包相比，Ledger 长期以来的独特之处在于其 Secure Element 芯片。Ledger 声称该芯片可完全隔离保存私钥，因此很多人认为 Ledger 硬件钱包相当于 iPhone 的 Secure Enclave，让私钥完全无法被获取。但新功能 Recover 的发布似乎打破了这个印象，向用户传达了私钥可以以加密的形式离开 Secure Element 的信息。尽管 Recover 功能是可选的服务，但 Nano X 的固件更新仍会将这一功能植入操作系统。从技术层面来看，Ledger 实际是要求用户对其“100%”信任，因为整个助记词加密和传输的过程都是封闭且无法验证的。目前，Ledger 还未向用户展示 Ledger 的恢复服务如何安全地加密用户数据并在底层运行，除了 Ledger 自己，没有其他人可以验证整个过程的安全性。尽管 Ledger Recover 并未让助记词以未加密的状态离开设备，用户担忧的是：Ledger 事实上已经提供了一个可以通过 USB/BT 发送助记词的代码。这种情况存在黑客通过恶意攻击将冷钱包变成热钱包，并获取用户助记词的可能性。同时，用户也无法确定 Ledger 是否能够防止黑客将加密的助记词片段全部发送给一个人，也无法确定助记词片段是否只能由用户自己解密。KYC 流程带来的隐私争议 除了 Recover 功能本身，一些用户还对用户隐私表达了担忧。硬件钱包通常被视作一种匿名存储加密货币的方式，然而选择使用 Ledger Recover 的用户将需要提交身份信息进行必要的助记词恢复验证。这一体验类似于中心化交易所的 KYC 流程，引发了用户对数据泄露、黑客攻击和政府审查等问题的担忧。作为拥有超过 400 万用户的公司，Ledger 用户管理的资产也相当可观。因此，无论其用户的个人信息是直接用于钓鱼攻击还是销售，对黑客而言具有相当的价值。2020 年，该公司的 272,000 名用户信息曾遭到盗窃，随后不少用户遭受了大量网络钓鱼工具的骚扰。用户有理由对订阅 Recover 功能所需的身份验证担心，他们的个人信息是否有了另一个潜在的泄漏出口。MPC 更安全吗？在遭遇了一系列质疑和抨击后，5月23日，Ledger 已经宣布推迟 Recover 功能的发布，并表示将在近日发布 Recover 协议的白皮书，试图平息用户的质疑。不论最终事件的结局如何，这次 Ledger 信任危机可以引发加密货币安全钱包、托管和安全从业者的诸多思考。在更广泛的层面上，究竟该如何选择加密资产托管技术和方案、是用硬件钱包还是软件钱包，是机构参与者必须谨慎思考的问题。将私钥打碎并进行多处备份，从而避免私钥暴露于风险，正如 Ledger Reocver 将助记词分为三个片段进行备份，这个思路其实并没有问题。但是，Ledger Recover 在技术上的最大风险在于：助记词原本作为一份信息存在硬件钱包中，而现在则经过加密、拆分和传输至三方，这整个过程是不透明且具有被劫持风险的。任何一步的疏漏，可能直接导致资产的流失。可能在很多人的印象中，托管钱包似乎脱离自己掌控，而硬件钱包掌握在自己手中感觉更可靠。其实，托管钱包技术不断进步和发展，也已经有非常安全和灵活的技术路线，其中之一就是 MPC（多方计算）钱包。多方计算（MPC）是指在无中心方条件下，多个参与方基于各自拥有的数据协同完成共同计算任务的一种计算方式，且各方无法通过计算过程中的交互数据推断出其他参与方的原始数据。因此，MPC 在安全性和易用性方面具有天然优势。从起始阶段，钱包私钥就从未出现过，并且私钥分片由多方在本地独立生成，从根本上消除了单点风险，而且 MPC 算法公开且经过同业评审和实战测试，公开可靠。Cobo MPC以 Cobo MPC WaaS （钱包即服务）为例，Cobo MPC WaaS 基于 MPC-TSS（Threshold Signature Scheme，阈值签名）技术，以 Wallet-as-a-Service 的形式提供数字资产协管和区块链技术服务。MPC-TSS 是一种基于多方安全计算的阈值签名技术。运用 MPC-TSS 技术，多方各自管理一个私钥分片 （MPC Key Share） ，通过分布式计算的方式完成私钥的创建（Generate）、签名（Sign）和恢复（Recover）等动作。在分布式计算的过程中，任何一方的私钥分片都不会因为协同交互而泄漏，并且完整私钥也不会以任何形式存在于任何地方。MPC-TSS 技术确保个人和企业能够更加方便、安全、满足业务逻辑地使用密钥。Cobo 采用三方协同管理私钥的方案，同时使用 ⅔ 的多签模式。三方协管意味着三个参与方分别持有一个私钥分片。⅔ 的多签模式则表示每次交易都需要至少两个参与方的协作，才可以完成签署交易的操作。这样做可以保证 Cobo 无法单方面挪用客户资产，同时即使客户私钥分片被窃取，也无法单独用于交易。此外，客户还可以通过 Cobo 和第三方恢复分片。在第三方的选择上，也完全是由客户决定，从而通过技术和流程上保证了客户对资产的完全控制。Ledger Recover 事件，让很多用户再次审视自己的私钥管理策略。看似采取与 Ledger Recover 类似方案的 MPC 钱包，其实在安全底层有本质区别。对 MPC 钱包技术和产品感兴趣的读者，欢迎到 Cobo 官网（https://www.cobo.com/mpc）了解更多。Cobo 成立于 2017 年，总部位于新加坡，是全球最大的数字资产托管机构之一，用户遍布亚洲、欧洲、中东、北美和南美等地区，服务超过 500 家机构客户，托管资产达数十亿美元。Cobo 提供从中心化托管（基于 HSM）到协同托管（基于 MPC），再到完全去中心化自托管（基于智能合约）的全面完整的解决方案。此外，Cobo 还提供 Wallet-as-a-Service（钱包即服务）、SuperLoop（交易所场外托管和结算网络）和 Argus（基于角色的访问控制的链上 DeFi 投资工具）产品。Cobo 通过了 SOC 2 Type 1 和 SOC 2 Type 2 合规性认证，并在美国、新加坡、香港、立陶宛和迪拜（虚拟资产许可证的原则性批准）持有相应牌照。Cobo 获得 DST Global、A&T Capital、IMO Ventures 和 DHVC Capital 等世界顶级投资机构的支持，2021 年 9 月完成 B 轮 4000 万美元融资。了解更多信息，请访问：https://www.cobo.com/ 。...

2023年12月14日，据 Beosin EagleEye 安全态势感知平台消息，大量去中心化应用由于使用 Ledger 被恶意植入的库导致用户资产被盗，黑客获利超60万美元。Beosin 安全团队第一时间对事件进行了分析，结果如下。connect-kit简介connect-kit是Ledger的一个Javascript库，允许用户将其 Ledger 设备连接到第三方 DApp。库链接地址: https://www.npmjs.com/package/@ledgerhq/connect-kit漏洞分析该事件发生的原因是因为一名前 Ledger 员工被网络钓鱼攻击，而Ledger并未取消该员工的代码访问权限，攻击者从而获得了其 NPMJS 帐户的访问权限。随后，攻击者发布了 Ledger Connect Kit 的恶意版本（受影响版本为 1.1.5、1.1.6 和 1.1.7）。攻击流程早在4个月前，攻击者便发布了 Ledger Connect Kit 1.1.5 恶意版本，并在两个月前先后发布了 Ledger Connect Kit 1.1.6 和 Ledger Connect Kit 1.1.7 两个恶意版本，通过CDN分发，利用恶意代码将用户的资金转移到指定的黑客钱包地址。资金追踪目前黑客的资金地址（0x658729879fca881d9526480b82ae00efc54b5c2d）已被 EagleEye 标记为 Ledger Exploiter，用户可以在 EagleEye 网站上对其进行实时监控：链接：https://eagleeye.space/address/0x658729879fca881d9526480b82ae00efc54b5c2d此次攻击涉及多条公链，黑客转移了众多用户在Ethereum、BNB Chain、Arbitrum、Base、Fantom等网络的资产，获利超60万美元。根据Beosin trace查询显示，截止发文时，以太坊上的被盗资金部分被发到了 Fake_Phishing268838 钓鱼地址：0x1b9f9964a073401a8bc24f64491516970bb84e47其余还保存在攻击者地址中（由于代币种类过多，以下图片仅展示部分信息）KYT反洗钱分析平台BSC链上被盗资金目前全部保存在攻击者地址中：本次事件涉及大量公链上的用户被盗，这里仅展示以太坊和BSC上的被盗情况安全建议本次事件再次反映了供应链安全的重要性。在Web3安全中，供应链安全经常被开发者和安全团队忽视，而黑客可以通过软件供应链的各个环节植入恶意代码，窃取用户信息和数字资产，进行大规模的攻击。Beosin 对防范此类安全事件的建议如下：1.  在选择和使用第三方软件或组件时，需进行安全审查和验证。了解第三方的安全标准和实践，确保软件没有被篡改或植入恶意代码。2.  采用安全的开发实践，如使用安全编码标准、代码审查、漏洞扫描和安全测试等，确保软件在开发过程中始终处于安全状态。3.  及时应用软件供应商发布的安全更新和补丁，以修复已知的漏洞和缺陷。保持软件处于最新版本，减少被攻击的风险。4.  采用多层次的安全防御策略，包括网络安全、终端安全和数据安全等。使用入侵检测系统、终端安全软件和数据加密等措施，提高整个软件供应链的安全性。5.  建立监测和响应机制，及时检测异常活动和潜在的供应链攻击，并采取相应的应对措施，如隔离受感染的代码库、及时修复漏洞和恢复数据等。6.  提供员工培训和意识提升，使其能够识别社会工程学攻击与供应链攻击，并采取适当的防范措施，如警惕钓鱼邮件、不随意下载附件等。开发团队的员工权限需要及时更新，交接代码权限需做到透明清晰。Beosin 作为一家全球领先的区块链安全公司，在全球10多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务，公司致力于Web3生态的安全发展，已为全球3000多个企业提供区块链安全技术服务，包括HashKey Group、Amber Group、BNB Chain等，已审计智能合约和公链主网超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。欢迎点击公众号留言框，与我们联系。...