硬件钱包

Twitter和Square首席执行官Jack Dorsey说，Square正在 "考虑 "为比特币开发一个硬件钱包。Square正在考虑为比特币制作一个硬件钱包。如果我们这样做，我们将完全以开放的方式建立它，从软件到硬件设计，并与社区合作。比特币硬件钱包，或 "冷钱包"，本质上是一个闪存驱动器，你可以离线存储你的加密货币。在今天上午的推文中，多尔西提出了关于硬件工程方向的广泛问题。他问道："小型显示器有必要吗？"期望主流客户在一个小显示屏上验证细节，不太可能提高安全性，很可能降低设备的可靠性，增加设备成本，并降低可及性。如果不需要显示屏，产品是否更好？"Ledger和Trezor这两家流行的冷钱包制造商，都在其产品上加入了小型显示屏。多尔西说，长期担任Square高管的杰西·多洛古斯克将帮助酝酿这类决定。至于他何时可能决定是否真正开始开发钱包，多西说得很模糊。"他写道："当我们准备好的时候，我们会用这个信息更新这个话题。...

加密货币钱包是一种数字钱包，用于存储、管理和转移加密货币，例如比特币、以太坊和莱特币等数字资产。钱包通常包括公钥和私钥，用于验证和签署加密货币交易。加密货币钱包可以分为冷钱包和热钱包两种类型，每种类型都有其优缺点。以下是对冷热钱包的差异、优劣势的详细说明。冷钱包冷钱包是一种离线存储的钱包，私钥存储在离线设备中，不与互联网连接。冷钱包可以是硬件钱包、纸钱包或其他离线存储设备。冷钱包的主要优点是安全性高，因为私钥不在线，所以不容易被黑客攻击或窃取。由于离线存储，冷钱包的使用也不需要网络连接，这可以确保用户的私人信息和资金得到最大程度的保护。另外，冷钱包也有一些缺点。首先，冷钱包管理需要更多的技术知识和经验，比较适合有经验的加密货币用户。其次，由于冷钱包是离线存储的，所以使用起来相对不太方便，需要将钱包连接到计算机或其他设备上进行操作。最后，如果用户丢失了冷钱包或者其密码，那么将无法访问和恢复其加密货币资产。热钱包热钱包是一种在线存储的钱包，私钥存储在联网设备上，例如电脑、手机或云存储。热钱包可以是软件钱包、在线钱包或其他在线存储设备。热钱包的主要优点是使用方便，可以随时随地管理和转移加密货币资产，而且通常比冷钱包更易于使用和理解。然而，热钱包也存在一些缺点。首先，由于私钥在线存储，因此容易受到黑客攻击和窃取。其次，热钱包的安全性依赖于设备和网络的安全性，如果设备或网络存在漏洞，则用户的加密货币资产将面临风险。最后，由于热钱包通常需要联网才能使用，因此使用热钱包需要更多的注意事项和安全措施，以确保私人信息和资金的安全。冷热钱包的差异冷钱包和热钱包的主要差异在于私钥的存储方式和联网方式。冷钱包私钥存储在离线设备中，不需要联网即可使用，因此安全性高，但使用起来不太方便。热钱包私钥存储在联网设备中，需要联网才能使用，因此使用起来更加方便，但安全性相对较低。同时，冷钱包和热钱包的使用也有不同的情况。冷钱包适合长期存储大量的加密货币资产，例如投资者和交易员等，而热钱包则适合频繁转移和使用加密货币资产的用户，例如日常消费和交易等。用户应该根据自己的需求和情况选择适合自己的钱包类型。LedgerLedger是一家法国公司，提供Ledger Nano S和Ledger Nano X两种硬件钱包。这两种硬件钱包采用了安全芯片技术，支持多种加密货币，例如比特币、以太坊等。Ledger钱包还支持FIDO U2F，可用于双重身份验证。此外，Ledger还提供了一个名为Ledger Live的应用程序，用于管理Ledger钱包中的加密货币资产。TrezorTrezor是一家捷克公司，提供Trezor One和Trezor Model T两种硬件钱包。这两种硬件钱包均采用了安全芯片技术，支持多种加密货币，例如比特币、以太坊等。Trezor钱包还支持多种钱包软件，例如Electrum、MyEtherWallet等。此外，Trezor钱包还支持FIDO U2F，可用于双重身份验证。KeepKeyKeepKey是一家美国公司，提供KeepKey硬件钱包。KeepKey钱包采用了安全芯片技术，支持多种加密货币，例如比特币、以太坊等。KeepKey钱包还提供了一个名为ShapeShift的应用程序，用于在不同的加密货币之间进行交换。BitBoxBitBox是一家瑞士公司，提供BitBox02硬件钱包。BitBox02钱包采用了安全芯片技术，支持多种加密货币，例如比特币、以太坊等。BitBox02钱包还提供了一个名为BitBoxApp的应用程序，用于管理BitBox钱包中的加密货币资产。总之，这些公司提供的硬件钱包都采用了安全芯片技术，支持多种加密货币，并提供了相应的管理应用程序。此外，这些钱包还提供了双重身份验证等安全措施来保护用户的资产安全。这些冷钱包的价格因型号、功能和销售渠道不同而有所差异。以下是一些常见的冷钱包的价格范围供参考：Ledger Nano S：约59欧元到79欧元。Ledger Nano X：约119欧元到149欧元。Trezor One：约49欧元到69欧元。Trezor Model T：约149欧元到199欧元。KeepKey：约49美元到79美元。BitBox02：约109欧元到139欧元。...

圈子不对努力白费 欢迎进社区学习 近期，比特币价格宛如过山车般疯狂攀升，让众多投资者目瞪口呆！然而，令人惊讶的是，这股热潮在谷歌搜索中却未能掀起波澜，与近期大热的“AI”相比，比特币的搜索热度简直是小巫见大巫，只有微不足道的一部分。难道散户投资者的热情真已消退？这个问题引发了无数投资者的好奇与思考！加密货币分析师Miles Deutscher在10月29日的一篇帖子中无奈地指出：“比特币即将冲破历史新高，但散户的兴趣却似乎蒸发得无影无踪。”这番话犹如一盆冷水，泼在了无数对比特币满怀期待的投资者心头。回顾10月29日，那一天比特币的价格一度逼近历史新高73,562美元，仿佛就在指尖。然而，狂欢似乎短暂得令人心碎，价格随即悄然回落至72,300美元。这一幕，不禁让人感慨市场如潮水般变幻莫测，令人捉摸不定！再看看谷歌趋势的数据，更是让人心生感慨。尽管比特币价格近期攀升，但与2021年5月下旬那次历史搜索量巅峰相比，现在的搜索兴趣得分仅有23分（满分100分）。这无疑在向我们传递一个信号：散户对比特币的热情，已远不如往昔。回想当年，比特币牛市时期，散户热情如火，每当价格暴涨，Coinbase在苹果应用商店的排名就像火箭一样，一路冲进前50名。如今，这一切都成了往事，根据Sensor Tower的数据，Coinbase的排名已经滑落至308位。这种落差，令人唏嘘不已。然而，就在大家以为散户已彻底放弃比特币时，局势却悄然发生变化。在10月28日至29日期间，Coinbase的排名竟跃升了167位，这是否意味着加密货币的上涨再次唤起了零售投资者的兴趣？加密分析公司CryptoQuant的一份报告为我们揭示了散户重返市场的真相。尽管散户投资者正在“缓慢重返”，但他们的投资速度显然落后于大型比特币投资者。这意味着，散户们已不再是那些容易被市场波动左右的群体。更令人震惊的是，报告指出，9月21日，BTC散户投资者的每日转账金额仅为3.26亿美元，创下自2020年以来的最低水平。这不禁让人感慨，散户的投资热情，似乎真的降到了冰点！CryptoQuant的分析师们发现了一个有趣的现象：零售活动的减少，往往会预示着比特币价格的即将上涨。这意味着，如果比特币突然飙升，散户们更有可能成为那些追逐利润的“后来者”。这似乎在告诉我们，尽管散户们的热情不再如昔日那般狂热，但他们依然拥有不可小觑的力量。与此同时，机构投资者的身影愈发明显。CryptoQuant创始人兼首席执行官Ki Young Ju强调，过去12个月里，机构对托管钱包中比特币的需求是零售的两倍。这不禁让人猜测，机构是否已经悄然成为比特币市场的“新主角”？根据Farside的数据，美国现货比特币交易所交易基金的推出，更是为机构持有量带来了重大提升。自1月份推出以来，该基金的净流入金额已超过227亿美元。这清楚地表明，机构对比特币的热情正在持续升温。回望这场比特币的狂欢，我们不禁感叹市场的瞬息万变。尽管散户的热情有所减退，但他们的影响力依然不可忽视。而机构的参与，更为这场狂欢增添了新的色彩。未来，比特币的走势究竟会如何演绎？或许，只有时间才能揭晓这个谜底。你是否对比特币近期的狂飙感到震惊，想知道那些机构大佬们在暗中布局了什么，谁又将在这场加密货币盛宴中笑到最后？文章暂时分享到这里；想了解更多精彩圈内事件可进社区群咨询！如果你一直追涨杀跌，经常被套，没有币圈最新消息，没有方向的朋友，扫下方二维码，近期有什么疑惑与不解，都会尽量帮你解答；如果对未来比较迷茫，会把策略布局分享到小圈子！欢迎加入大家庭一起把握下一步热点，共同实现投资回报最大化！创建一个高质量圈子, 目的: 做大做强，再创辉煌下个牛市翻身!注：如果二维码失效，请在后台留言私信点击关注👇精准把控点位，领取牛市密码！作为我的粉丝，温馨提示下：玩合约，赚钱只是过程，爆仓一定是最终结果，尽量不要去尝试合约！坚持创作不易，点点关注不迷路，谢谢支持！我们下期再见！     ...

本篇文章预计阅读时长10分钟区块链主流钱包类型：1 去中心化钱包2 中心化钱包3 硬件钱包4 托管钱包一. 去中心化钱包基本介绍：去中心化钱包的应用最为广泛，也被称为确定性分层（HD）钱包，我们经常使用的小狐狸钱包.TP钱包.ImToken钱包就属于去中心化钱包，去中心化钱包通过对私钥进行加密存储在本地设备sqlite或者数据文件里面，当需要签名时，用户输入密码解密出私钥后再签名。业务逻辑：1. 收款：查询本地设备数据库把地址展示于页面上2. 转账：用户发起转账，钱包调用接口获取签名的参数，用户进行签名后发送到区块链网络，最后返回交易状态。3. 转账记录：根据地址查询交易记录和根据Hash查询交易详情。4. 闪兑：一般钱包内集成了闪电兑换的功能，例如1inch或其他的aggrator功能。5. Dapp浏览器：Dapp浏览器是指Dapp可以在里面运行，能够于钱包进行交互应用场景：去中心化钱包以小狐狸钱包为代表，已经成为区块链用户的必备钱包，通过小狐狸钱包可以进行区块链交互。二.中心化钱包基本介绍：中心化钱包的代表包括币安，欧意，bybit, gate,bitget等主流交易所的钱包，中心化钱包的私钥一般存储在中心化服务器上。不同交易所的私钥管理方式各不相同，第一种的方式是对私钥进行一层DES加密存储在数据库中，第二种方式是使用KMS环境保存加密的私钥，第三种方式是Tee环境，每次交易的签名需要在该环境进行解密出私钥进行签名。第四种方式是使用CloadHSM,私钥不会离开当前设备，签名交易也在当前设备内进行，也是最安全和最专业的私钥管理方式。在当前所有的中心化钱包中，钱包的资金都不能保证百分百的安全，这也需要交易所钱包的链路风控体系的帮助。业务逻辑：1. 批量地址生成：交易所钱包的批量地址生成主要是一个包含成千上万的地址池，用户可以更加快速获取地址，从而提高交易所的性能和响应速度。2. 充值：交易所具备扫链系统，不断对区块链数据进行提取，当发现to地址属于自己用户的地址时，首先通过风控系统判断是否为黑灰地址，通过之后进入业务层，当区块已经经过64块时，交易所给用户的钱包进行上账。简化：扫链＝》风控 ＝》 业务 ＝》 上账3. 提现：当用户进行资金提现时，首先进入业务层建立签名参数交易数据，然后进入风控系统判断，通过后传入签名机进行签名，签名后发送到区块链网络，扫链完成后，通知交易所业务层上报交易hash信息。简化：业务＝》风控＝》离线签 ＝》 扫链4. 归集：归集类似于批量转账，和提现的逻辑类似。5. 热转冷：交易所本质就是一个热钱包，当用户提现首先会到交易所的热钱包地址，之后业务层再给钱包上账，当热钱包的资金大于一定体量时，类似于提现逻辑转入冷钱包。6. 冷转热 ：冷钱包通过手动的转账方式转入热钱包，冷钱包一般由公司高管掌握。7. 链路风控 ：钱包充值，提现，归集，转冷，冷转热的每笔交易都会涉及。应用场景：交易所钱包作为用户进入区块链的第一站，拥有广泛的用户受众，用户首先通过交易所钱包进行链上充值资金，从而进行链上各种操作。三.硬件钱包基本介绍：硬件钱包的代表主要包括ledger, onekey等钱包，其私钥只要保存在钱包的硬件设备中，该硬件设备已经集成钱包签名算法，一般使用蓝牙，NFC或者串口通信进行通信。业务逻辑：1. 地址生成：硬件中集成Bip协议，用户生成助记词和密钥对，使用公钥导出地址。2. 离线签名：用户发送带签名交易，通过单项散列函数生成32为hash的带签名信息，通过蓝牙等协议传入设备中签名，之后发送到区块链网络。应用场景：硬件签名以安全性和隐私性著称，其私钥由硬件内部代码生成，私钥不会离开设备，减少了私钥泄露风险，虽然安全性高于前两者，但是仍属于区块链网络钱包，仍然不能保证百分百安全。四.托管钱包基本介绍：托管钱包一般采用mpc算法，底层采用门限共享加密算法，每个节点存放于一个Tee环境，拥有一个独有密钥片，网络中并不存在完整的密钥片，采用N－M的签名方式，总结点为N个，M个节点签名即为有效。mpc算法最大的亮点在于底层采用了门限共享加密算法，通过对密钥私钥头和私钥体进行分割，私钥头是一个随机数，存放于服务器上，私钥体再次通过异或算法进行分割为m份私钥，当n份私钥进行签名时（m >= n），就会生成聚合公钥，进行签名，完成交易。业务逻辑：1. 地址生成：业务端发送key-gen指令，mpc网络通过多轮共识产出密钥片，吐出聚合公钥，业务端通过聚合公钥导出地址。2. 离线签名：业务端发送sign指令，携带待签名的交易报文进入mpc网络，私钥体进行多轮签名生成聚合公钥，签名后发送到区块链网络。应用场景：托管钱包与交易所钱包相比，不同在于密钥的管理方式，其框架结构和交易所钱包类似，不过托管钱包在进行多轮签名时所需要的时间更多，效率低于中心化钱包，安全性高于中心化钱包，一般适用于管理大型加密资产。总结以上就是当前区块链的主流钱包分类，其中去中心化钱包和中心化钱包的应用场景最为广泛，其次是硬件钱包和托管钱包，每个钱包都具备特定的应用场景以及业务需求，随着区块链技术的不断发展，用户对钱包的安全性和隐私性的需求更加强烈，未来也会出现更多具备安全隐私性更高的钱包。...

上周五小雪，各位投资者除了感受到气温上的骤降以外，也着实被比特币跳水的新闻震惊到，一时间朋友圈无数的“比特币寒冬论”不断涌现，就在大家以为这场惊险刺激的过山车就要在低点结束时，这周比特币悄然复苏，昨日再次发力上涨5%，达到7500美元的高点，专业人员预测12月比特币有望突破8000美元，对于2020年的丰收各大机构仍然充满了信心。过山车即将进入上升段，各位比特币爱好者们准备好了吗？万事俱备的你还差一个比特币钱包？不用担心，小编已经为大家安排了详细的钱包操作指南，让您的资产保管更安心，交易更便捷，不论你是长期持有的HOLDers还是短期投资的holders，Ledger Nano S硬钱包都将是您的不二之选。是不是有点小激动呢？之后三天，小编将带领大家开启我们的硬件钱包安装与初始配置之旅~第一天：硬件钱包初始配置第二天：电脑端初始配置第三天：电脑端与钱包匹配设置 Ledger Nano SLedger Nano S全球最受欢迎的硬件钱包。运用市场上最安全的芯片类型构建的加密货币硬件钱包，确保为您的加密货币提供最佳安全性，使您安全地持有加密资产。特征1.多币种可在钱包中安装3到20个应用程序，具体数量取决于应用程序的大小。支持比特币、以太坊、XRP、EOS、Stellar等。2.简单使用Ledger Live应用程序直接从您的桌面管理22个硬币和ERC-20。您可以使用外部钱包来管理其他资产。3.安全用于访问硬币的私钥永远不会暴露。它仍受PIN码锁定的安全芯片保护。Ledger Nano S已获得法国网络安全机构ANSSI的全面认证。4.备份即使您丢失了Ledger Nano S，您的加密资产也将保持安全：机密的恢复短语会备份您的设备，并且您的帐户可以在任何Ledger设备上轻松恢复。配置条件1.   新的钱包设备2.   钱包配备的USB数据线3.   记录24个助记词的助记词卡4.   连接钱包的电脑（装有Ledger live电脑端）钱包按键作用1.    按左键：下翻，或是“×”不选2.    按右键：上翻，或是“√”选择3.    同时按左右键：确认01连接及初始化设备1.将类似U盘的比特币钱包（Ledger Nano S ）通过USB数据线连接电脑。钱包屏幕显示“Welcome”， 同时按左、右键两次开始配置：2.屏幕显示“Configure as new device?”，按右键开始初始化设备；02设置PIN码（设备初始密码）1.屏幕显示“1. Choose a PIN code”，同时按左右键，开始设置设备PIN码随机默认显示数字，通过单按左、右键来减小或增大数值，同时按左右键确认该数字，接着开始设置下一位；（数字“9”之后 “×”是删除该位数字，再之后为“√”确认使用此串密码）PIN码的位数自己设定，最少4位，最多8位（一般设8位比较保险），需要一位一位设置；设置4位PIN码后，第五位显示√，同时按左右键完成PIN码设置，如果想增加PIN码位数，可通过左右键来调整数值；假如设置6位PIN码，第七位显示√，这时同时按左右键完成PIN码设置。2.屏幕显示“2. Confirm your PIN code”，同时按左右键，确认上一步输入的PIN码，按照上一步的方法重新输入PIN码，完成后进入下一步。03记录和确认助记词1.钱包屏幕显示“3. Write down your recovery phrase”，同时按左右键开始记录助记词（一定要保存好这24个助记词，这是保存钱包资产最关键的私钥，最好手写保存几份，确保一定不要丢失，不要在线保存）；助记词为24个单词，请将它们手写在助记词卡，不可在线保存在连网设备，谨慎保管；开始显示第一个单词，按右键显示下一个单词，按左键返回上一个单词；当记录完第24个单词后，同时按下左右键，完成本步骤。这张卡片请妥善保管，当硬件丢失或忘记PIN码时用于恢复钱包。如若丢失，任何人都无法恢复。2.二十四位助记词记录完成后，设备上进行第二遍确认，屏幕显示“4. Confirm your recovery phrase”，同时按左右键，开始确认上一步记录的助记词。如下图，对照助记词卡顺序，选择对应次序的单词，同时按左右键，直至24个单词确认完毕。如出现以下提示“Recovery word dose not match”意为“选择单词与助记词顺序不匹配”同时按下左右键，即可重新选择04生效配置1. 等待，开始生效配置；2. 显示“Your device is now ready”；3. 同时按左右键两次，进入主界面显示“Settings”，完成配置。提示：请妥善助记词。钱包配置完成，开始设置电脑与钱包的连接…05停止使用钱包在钱包“Settings”界面，按左键或右键，选择“Quit app”，同时按左右键即可拔出USB连接线以上就是本期的全部内容啦，下周会继续放送比特币钱包的相关资讯，如果您想提前了解更多独家内容或购买硬钱包，欢迎私戳我们的客服小管家。比特小管家您的私人服务小管家微信号：huidibitcoin长按识别二维码关注我天气转凉，请大家注意保暖哦！长按关注比特见闻致力于为读者提供关于比特币和区块链行业最新发展的客观深度研究。是新朋友吗？记得先点蓝字关注我哦～...

...

概要：本文介绍了一种名为Dark Skippy的新型硬件钱包破解技术，它通过在硬件钱包中植入恶意固件，利用低随机性签名将用户的助记词嵌入到比特币交易中，再从区块链上提取助记词以盗取用户资产。文章还解释了比特币签名的原理、如何避免此类攻击，并提出了多重签名作为解决方案。本文作者：OneKey 中文@OneKeyCN。发文时间：下午10:59 · 2024年8月14日海外加密安全圈炸锅了。又一个改进的硬件钱包破解手段披露，更高更快更强。服了，难道黑客白帽们也在搞奥运？OneKey 将会用尽量简单语言来解释，一起潜入 👇（1）黑客是如何黑入视频里的硬件钱包的？✨1. 攻击者将恶意固件刷到你的硬件钱包上。2. 黑客使用这个带有恶意固件的硬件钱包发送比特币交易。恶意固件会将你的助记词通过低随机性签名的方式「嵌入」到这笔交易中，而这笔交易会公开地存储在区块链上。3. 攻击者在区块链上找到你的交易，运行一个特殊算法，从中提取出你的比特币助记词。4. 拿到你的助记词后，攻击者就能访问并盗走你的比特币。（2）这个具体的攻击算法的原理是什么？✨到这里会需要你对 BTC 转账有点了解。如果你不是个爱刨根问底的好奇宝宝，可以直接跳到下一个如何避免被攻击 ：）在进行比特币转账前——你需要准备好交易数据，这包括交易的输入（也就是你要花费的比特币来源）和输出（你要把比特币转到哪里）。随后你通过哈希算法计算出消息哈希值。这是需要签名的数据摘要，你可以理解为「浓缩的交易数据」。接下来重头戏来了——你需要对这个交易数据进行签名。以椭圆曲线数字签名算法（ECDSA）为例，你需要结合一个内部随机数 k 来输出签名结果。随机数 k 的引入是为了确保每次签名的唯一性和安全性。假如你每次使用相同的随机数 k，那么虽然你签署的消息（交易）可能不同，生成的签名却可能出现规律，导致攻击者通过数学分析破解你的私钥。因此，每次都使用一个不可预测的随机数 k 可以保证每次生成的签名都是独一无二的，即使对同一个消息进行多次签名，结果也会不同。随后矿工就会验证并把交易打包广播到区块链。在早期一些不规范的使用中，多次随机性不好的签名就有可能被黑客算出私钥。（都是 2013 的甚至更早的事情了）现在大部分硬件钱包，包括 OneKey，都采用了 RFC6979 安全标准，保证这个内部随机数在数学上足够随机。这也是为什么早期的时候很多比特币 OG 的地址都是用一次换一次，公钥暴露降低比特币地址的安全度，还得手动设置专门的找零地址。现代比特币钱包（如HD钱包，分层确定性钱包）可以自动生成和管理大量地址，并将其背后的复杂性隐藏起来。当然，这里就扯远了，有兴趣的朋友可以自行考古。到这里，理解下面视频里面的攻击就不难了：虽然我无法直接从加密芯片上读取私钥，但是假如我能修改你的固件里面的随机算法，让这个随机数 k 不随机，我就能通过几次签名，通过链上广播的信息反求出你的私钥。从某种意义上，这就等于把私钥嵌入到你的多个签名里了。在 Dark Skippy 中，他们将这个需求降低到了只需要2个签名（对于12个助记词而言 2 个，24个助记词需要4个签名）来破解私钥。确实比以往的方法更高效了。（3）如何避免被攻击？✨这一攻击成功，在于两件事，他们成功「拿到」了无辜用户的硬件钱包，并且成功「植入」恶意固件。所以……1. 确保硬件钱包从出厂、运输直到你的手里，没被第三方碰过。现在几家硬件钱包品牌包括 Onekey，都有多层的防拆、加密塑封设计的「防供应链攻击」。保证到货后如果有拆封痕迹都能够立即发现。建议您从收到货开始全程录像开箱，作为售后依据！开始使用了之后，也要保管好钱包。确保你的硬件钱包不会被别人拿到，防止被恶意修改。2. 确保固件代码不会被人恶意修改。确保你是从官网渠道下载的更新。还要做好校验工作。这里这里各家厂商的措施都不太一样，下面以 OneKey 为例，如果您使用其他厂商的可以查询下相关的措施。首先，我们的软件和硬件代码是开源的（https://github.com/OneKeyHQ），并通过了慢雾科技@SlowMist_Team和@Offside_Labs等知名安全机构的审计。其次，OneKey 最新的硬件采用多颗军工级保密 EAL 6+ 芯片，机器和 App 都会自动校验固件。机器开机后，如果是非官方固件的签名，会被检测到并硬抹除助记词数据。你甚至不能恶意降级——这同样会导致助记词被抹除。同时，用户可以自行验证的固件代码一致性，参考这篇：验证 OneKey 发布的固件文件与开源代码的一致性。（4）总之 ✨无论如何，如果硬件钱包一旦丢失或者落入黑客手中，我们都建议立即启用备份助记词，尽快转移资产，确保万无一失。这个风险相对于助记词触网储存和钓鱼，还是比较小的。✨ 补充阅读：在原文提到的攻击方法中，提到了一种方式也能够预防——“反泄露 Anti-exfil”，是一种防止上述攻击的方法。简单来说，反泄露是一种安全技术，它将硬件签名设备的熵与第二台设备（通常是伴随软件钱包的主机）的熵结合起来生成随机数。然而，这种方法有两个缺点。首先，目前还没有反泄露的完全公认的标准，这个还在发展中，所以你必须信任供应商完美实施了反泄露。其次，由于反泄露改变了生成签名的方式，即每笔交易都需要从第二台设备获取随机数，这与当前大多数比特币钱包的工作方式不兼容，因此会带来用户界面和体验上的挑战。在反泄露有了明确的标准并获得更广泛的钱包兼容性之前，如果你真的很担心「Dark Skippy」，我们建议使用多重签名作为更实用的解决方案。多重签名与反泄露在本质上实现了相同的目标：它也需要来自第二台设备的熵来授权每笔比特币交易。如果你愿意，多重签名还可以从不止两台设备中添加熵（例如3-of-5多重签名）。最后但同样重要的是，多重签名在比特币中已经使用了10多年，经受住了考验（保护了数千亿比特币），并且已经非常标准化（比如PSBT、BSMS、输出描述符等标准）。很多大的公司和基金，包括门头沟、贝莱德等，都在用比特币多签。英文资源：Dark Skippy DisclosureDark Skippy 是一种强大的方法，用于恶意签名设备泄露秘钥。使用 Dark Skippy，恶意签名者可以利用修改后的签名函数，通过将主秘钥嵌入交易签名中，高效且隐蔽地输出他们的主秘密种子。这种攻击是在比特币签名设备和硬件钱包的背景下发现和讨论的，尽管可能适用于比特币之外的环境。Dark Skippy 需要签名者通过恶意固件受损。Dark Skippy 在野外尚未被发现。https://darkskippy.com/更多内容请点击“阅读原文”，欢迎进加助手（yun-tianming）进群。为避免垃圾广告骚扰，入群需转助手10元红包作为押金（未发广告无违规，退群时退还）。...

四十大盗的纸钱包秘钥丢了，正好被阿里巴巴捡到了，那就怪不得别人了，如果他们不是用纸钱包备份，而是用硬件钱包的话...四十大盗有多少比特币，他们撸了多少年，防女巫了多少年，才好不容易积攒了万贯家财，已经不重要了，重要的是，私钥没有保管好，不管是自己丢的，还是被盗，那就是辛辛苦苦几十年，一朝回到解放前。晚上，听了Onekey的嘉宾分享，Onekey是电影《头号玩家》里的金钥匙生产商，不是，窜台了，Onekey是一家知名硬件钱包生产商，其实web3的知识对小白来说，一开始还是有点上头的，但是宣讲嘉宾讲的很好，通俗易懂，基本从区块链的基础知识、财产存储、钱包分类、钱包的安全原理...各方面，阐述了一遍。其中有一点，我印象很深，就是嘉宾说到，好像硬件钱包可以另设立一个隐藏钱包，就是24个助记词之外，可以再加一个附加词，这个附加词是应急用的，比如，我，哦，不是，说你吧，你某一天被绑匪绑了，被打的受不了了(假装受不了也行)，犹犹豫豫说出来24个助记词，绑匪看到余额，满意的走了（前提是你得确保你的钱包余额不会让绑匪有撕票的冲动！）然后，其实，他们拿走的只是你表面钱包里的财富，等他们走远了，你可以忍痛偷偷输入附加词，这时候，隐藏钱包出现了，你的大部分钱财是藏在隐藏钱包里的，这个功能真的太贴心了！！让我以后有了面对绑匪的勇气和底气！！分享完，还有隋唐测试，不是，随堂测试，因为有礼物的刺激，我感觉自己把刚才的知识记得特别牢！虽然后面的抽奖手慢，开奖了还没抽，但是获得了知识的心情是喜悦的...一次完美的硬件钱包知识分享，感谢Onekey！！Jason——XMU...

安全是我们这个赛道最重要也是唯一的底线；本篇内容是对于这个最后底线的深度解读，内容包括：1）硬件钱包是什么？当我把资产放进硬件钱包，我实际上提升了多少安全性？2）到底是硬件钱包安全，还是多签安全？什么是最安全的资产存放方式？3）市面上什么硬件钱包更安全更好用？4）硬件钱包终极安全建议！前段时间因为帮助朋友成功破解多年无法打开的硬件钱包，以及近期不断有大佬们资产钓鱼被盗；更引起了我对于资产存放和安全的关注研究；安全是我们这个赛道最重要也是唯一的底线；安全是1 其他是1后面的0；因为如果安全做的不好，哪怕赚再多钱也可能在某一天会灰飞烟灭；所以到底如何保存自己的资产（我这里主要指的是 BTC 资产）下面是我和多位钱包界大牛们聊完后总结的一些东西；顺便感谢一下 @KeystoneWallet Head of Product @bc1Bill ；和其他几位不愿意透明姓名的朋友；1️⃣硬件钱包是什么？当我把资产放进硬件钱包，我实际上提升了多少安全性？我相信这是所有用硬件钱包的朋友最关心的问题，但是实际上，大部分人又没有很好的去了解这一点，这里有个常识性错误，我问了一圈后发现，很多人以为，资产进入了硬件钱包就是绝对安全的，就可以高枕无忧的；实际上并非如此，硬件钱包并不等于绝对安全！首先，你需要了解一下硬件钱包的本质，他是一种用于存储加密货币和其他数字资产的物理设备。通俗解释一下 — —你可以理解为，他就是你的保险柜；你的钱包密码则是保险柜的密码；私钥则是如果你的保险柜丢失的话，你还能恢复这个资产的最终法器；所以硬件钱包的主要目的是提供高级的安全性，保护用户的私钥和敏感数据不被网络攻击、恶意软件或物理盗窃所威胁，他一般具备这些特性：1）安全性增强：硬件钱包通常包含一个安全芯片或者多个，这个芯片专门设计用于保护私钥的安全。私钥永远不会离开设备，除非用户明确授权进行交易。2）离线存储：这种钱包通常在离线状态下操作，大大减少了通过互联网可能遭受的攻击风险。只有在需要进行交易时，钱包才会连接到网络。3）用户控制：与在线钱包或交易平台不同，硬件钱包让用户完全控制自己的私钥和资金。这符合加密货币社区的“自己持有私钥，自己拥有财富”的理念。所以总体来说，硬件钱包提供了比软件热钱包、交易所或在线钱包更高一级的安全性，但这并不意味着无需其他安全措施。比如在资产存储上面，你的私钥不触网，所以安全性相对更高，在签名上面，硬件钱包需要更多的步骤，所以你可能可以更好的识别骗局；但是如果你本质上的问题，是你的安全习惯和使用习惯，你私钥到处乱放，你签名的时候从来不看签名内容闭眼点击，那你的安全性和用不用硬件钱包没有关系，你就是一个不安全的状态。所以低一点，我想说的是：当你把资产放进硬件钱包，你实际上提升了多少安全性取决于你的使用习惯，而不是硬件钱包本身；2️⃣到底是硬件钱包安全，还是多签安全？什么是最安全的资产存放方式？首先前面说到了，咱们的硬件钱包是保险柜，密码是钥匙，私钥是最终恢复法器，那么我们需要做到保护好我们的资产的话，就要：1）保护好我的私钥（最终法器）2）保护好我的保险柜3）保护好我的保险柜密码这里核心还是私钥；不管是硬件还是软件钱包，最核心的都是你的私钥助记词，你存放助记词的安全性决定了你的最终安全性；你需要知道这一点；但同时你的保险柜也很重要，不管这个保险柜是手机、银行App、硬件钱包还是软件钱包；你要保护好保险柜；但是很多人忽视了这一点，以为保险柜（硬件钱包）丢失实际上问题不大，我们帮助破解了十几个钱包，实际上硬件钱包的破解可能性和成功率都在那里，你设想一个场景，我是你的熟人，我知道你的硬件钱包放在哪里，我知道你的常用密码习惯，一旦被我拿走你的硬件钱包（保险柜）再做破解，实际上你就非常危险；先说结论吧，和几个大牛们探讨了后，大家都一致认为，如果安全要做到极致一些，最安全的就是 硬件钱包+多重签名；如果要做的更绝一些，就是不同品牌的硬件钱包+多重签名；比如选择：Ledger、Trezor、Bitbox、Keystone、Coldcard 的组合 — — leger+ Keystone + Trozer ；可以创建2/3或3/3的多签；这种方式你需要三个硬件设备+三份私钥来保存资产；如果你这三份存放在不同的位置，存放得当的话，他人很难同时获取；被盗可能性最小；其他方式，比如 @KeystoneWallet 推出的分片助记词功能大家有兴趣也可以研究下，我觉得安全性也很棒，他是将助记词分成多个部分，每个部分单独无法恢复钱包，只有当这些部分被正确组合时，才能重建钱包。相当于一个钱包完成多签：https://mirror.xyz/keystonecn.eth/jngKwNznJARo5PdAlYxzuibDT9DWyvDkkSMpgjsBwQM3️⃣市面上什么硬件钱包更安全更好用？这也是所有人关注的一点，但还是那句话：没有永远安全的设备或系统，因为人性的漏洞无法预测；所以这里仁者见仁智者见智吧，目前我们破解技术大牛，破解的案例有：Trezor、onekey、coldlar库神、imtoken手机、比特币wallet.dat；Ledger 算是行业最大品牌，更新和安全性都算是佼佼者，但是Ledger系统是闭源的，所以目前没人说自己破解了 Ledger 的密码系统；但问题也在于他的闭源，不开源的系统你永远害怕他们有没有可能内部作恶；Onekey 和 coldlar 都用过一段时间，宣传力度比较大，但是因为硬件破解这块这类钱包遇到比较多，硬件和软件研发能力还需要市场的验证，所的以我最终没有作为单独存放钱包，而是多签使用；为了测试我购买了一些硬件，接下来一段时间，我会做一系列的硬件钱包测试和教程给大家，帮我自己理解钱包的同时，希望也能帮到大家，大家可以期待一下！4️⃣硬件钱包终极安全建议安全性这点我这里给大家一些建议：1）不管你用什么保险柜（硬件钱包设备）不要给任何人知道你的保险柜在哪儿；2）不要让任何人知道你的保险柜（硬件钱包）密码；不管这个保险柜是手机、银行App、硬件钱包还是软件钱包；3）尽量选择安全芯片能够保护对抗物理攻击的：一些高端的硬件钱包可能还带有防篡改特性，能够在检测到物理攻击时自动销毁私钥或阻止交易。4）最重要的，就是你保存私钥的地方，不要给任何人知道；或者你要么，就多重签名保存；要么，你再给自己私钥做一次加密处理；总结起来就是：安全无小事，不要怕麻烦；最后再重复一下：没有永远安全的设备或系统，因为人性的漏洞无法预测；你需要深度理解这句话的含义；希望大家都能保存好自己的资产，永远不要丢失；当然，万一真的丢失密码没办法了，可以微信我，说不定能帮上忙！End...

系列知识回顾：警惕二维码钓鱼骗局假冒BTT空投骗局警示“钓鱼”是用了什么黑科技安全警示|空投Token骗局深入剖析波场权限管理的那些事更多TokenPocket信息公众号：TokenPocket钱包微博：https://weibo.com/tokenpocketwallet语雀：https://www.yuque.com/tokenpocketTwitter：https://twitter.com/TokenPocket_TPMedium：https://tokenpocket-gm.medium.comFacebook：www.facebook.com/TokenPocket/Github：https://github.com/TP-LabEmail ：[email protected]点亮在看，你最好看！...