【比特幣專區】比特幣錢包介紹與使用風險提醒
專欄作家:裕禾泰資深分析師
文華(jaga) 2019/03/13
- 比特幣錢包介紹
加密貨幣錢包不僅是存放用戶資產的管理工具,在商業用途上錢包也可結合社群經營、廣告投放、訊息傳播、資產代管、量化管理、數據分析、生態支付、共享分潤及各種行銷手段,這就是百家爭鳴極力開發自家錢包,創造加乘價值把客戶數位資產留在自己生態系統消費最大主因。
目前市面上的各式比特幣錢包至少300種以上,除桌機軟體套件、手機APP、網頁及硬體等四類載台錢包分類,另還有區分平台代管私鑰、用戶自行保管私鑰、冷熱錢包等不同型式,為了方便簡單說明,裕禾泰在本篇專欄將錢包分類為平台、軟體、硬體等3種類型介紹,平台錢包私鑰由平台代管其風險性最高,使用上最便利、軟體及硬體錢包其私鑰由使用者自己保管,硬體錢包風險雖然最小但使用上最麻煩,裕禾泰製作一張簡單圖表圖解說明(詳如附圖1),相信大家會牢牢記住。
圖1 裕禾泰列舉比特幣錢包分類
新手進入加密貨幣世界,對於保管比特幣資產建議採用Bitcoin.org網站所提列22種比特幣錢包較為安全(私鑰由使用者保管),該網站將其分類桌機版(Desktop)、硬體(Hardware)、手機(Mobile)、網頁(Web)等四類載台,滿足各類型作業系統(桌機Linux、Mac、Windows;手機Android、iOS、Windows Phone),如附圖2。
圖2 Bitcoin.org網站所提列22種比特幣錢包
3種類型錢包使用風險及提醒
根據專業評級機構TokenInsight在2019年3月1日發表【數字錢包行業安全性報告】指出,在2018全年度錢包安全性問題所帶來的損失至少12億美元,可見用戶一定要對錢包有安全認知,才能保護自己的數位財產。接下我們來說明平台、軟體及硬體等3類型錢包的使用風險及提醒。
平台錢包:
平台錢包涵蓋代買所、交易所、數位資產銀行等,只要是代管用戶私鑰均屬於平台錢包,列舉近年幾個交易平台重大事件,損害狀況如下:
- 2014年2月:日本 Gox交易所被盜走75萬枚比特幣,當時損失超過4億美元,該交易所向日本法院聲已請破產保護。
- 2014年3月:成立於2011年宣稱是全球第一家比特幣銀行Flexcoin,網站上熱錢包 896 枚比特幣遭洗劫(約 60 萬美元)導致公司關閉,而用戶存放於離線「冷錢包」的比特幣則安然無恙。
- 2016年8月:Bitfinex交易所被盜12萬比特幣,當時價值7200萬美元。
- 2017年2月:義大利交易平台BitGrail遭駭,約有1,700萬枚Nano幣不翼而飛,市值約為7億美元。
- 2018年1月:日本交易所Coincheck熱錢包遭駭,當時價值3億美元的加密貨幣新經幣(XEM)不翼而飛。
- 2018年12月:加拿大最大比特幣交易所QuadrigaCX,創始人傑拉爾德科頓死亡,而該交易所的冷錢包私鑰僅創始人知曉,導使近2億美元市值的虛擬貨幣影響到36萬無法提領,並有可能永久性「消失」。(本案直到2019年1月後其遺孀才正式對外公布,引起投資人的恐慌。)
平台錢包的使用風險提醒:
- 沒有保證理賠:目前沒有一家交易平台正式公告,遭盜後保證理賠。
- 最易監守自盜:私鑰在平台方手裡,內部人員監守自盜輕而易舉。
- 國內大交易所:優先選二年以上國內大交易平台及無資安事件。
- 國際大交易所:優先選擇前十大交易所(控管較優、信譽)且無資安事件。
- 資產存管方式:優先選擇交易所公告大部份客戶資金存放冷錢包。
- 不明平台不碰:部份平台運行各式行銷手段,打著高紅利、高利息,誘導用戶存款數位資產,用戶可能面臨平台資安漏洞、詐騙等風險。
- 僅交易時打幣:用戶資產儘量全數留在自己保管私鑰的錢包,需要交易時才打幣至交易所進行買賣。
- 開二階段驗證:要開啟多重驗證,如二階段驗證、手機簡訊、信箱。
- 其它:API不開放提款、開啟2FA(二階段驗證)、國內提現限本人帳戶。
軟體錢包:
本篇所指的軟體錢包係指私鑰由用戶自行保管的錢包,可能面臨威脅來自私鑰存儲、網頁劫持(HTTP中間人劫持、DNS劫持)、登錄、交易、資產轉移及人工操作等風險問題,列舉近期幾個軟體錢包事件,損害狀況如下:
- 2017年11月:以太坊錢包 Parity 出現系統Bug,開發商啟動應急機制將用戶資產凍結。
- 2018年1月:Intel蕊片安全性漏洞持續發酵,引發比特幣錢包、使用者密碼、聊天記錄、政府機構重要資料都面臨安全風險。
- 2018年4月:Myetherwallet 發生安全事故,兩個小時內,被駭客盜走至少13000美元。
- 2018年11月:Bitpay錢包在使用第三方服務時出現問題,項目方建議用戶資產轉移。
- 2019年1月:駭客利用Electrum錢包漏洞竊取價值75萬美元的比特幣。
軟體錢包的使用風險提醒:
- 安裝合格軟體:電腦、手機等載具,安裝正版作業系統、應用軟體。
- 安裝防毒軟體:電腦、手機等載具,安裝正版前5大防毒軟體。
- 官網安裝入徑:確認軟體套件來自官方網站,任何不明連結別嘗試。
- 妥善備份私鑰:網路斷網將私鑰QR code列印、助記詞手抄放保管箱。
- 分散不同錢包:如果資產過多,建議分散到符合資安的不同軟體錢包。
硬體錢包:
硬體錢包以SIM卡、隨身碟、卡片式等硬體形式出現,私鑰是由用戶保管、平時不連網(冷錢包),使用時須配合原廠專用軟體使用,面臨最大威脅是沒有具備安全加密蕊片,列舉近期幾個硬體錢包事件,損害狀況如下:
- 2017年12月:比特幣硬體錢包Trezor曝安全漏洞,開發商啟動機制將錢包進行升級。
- 2018年2月:硬體錢包Ledger被報導存在漏洞。
- 2018年8月John McAlee 所開發的比特幣錢包 Bitfi 硬體錢包被攻破。
- 2018年12月混沌通訊大會上某團體聲稱掌握破解大多數硬體錢包方法並展示過程。
硬體錢包的使用風險提醒:
- 加密蕊片等級:優先使用具備安全加密蕊片標準(至少CC EAL4以上)。
- 官方網路訂購:透過冷錢包官網訂購以防止買到假貨,檢查包裝、說明書、配件與官方是否一致,也不參與非官網的團購。
- 妥善備份私鑰:私鑰大多以12-24個英文助記詞型式,請以手抄方式記錄置放重要處所(保管箱),絕不置放連網電腦。
- 出事即刻轉移:冷錢包必需配合該廠商軟體套件,若廠商倒閉、發生資安新聞,請立即轉移至其它冷錢包。
JAGA
專欄作家小檔案
先前工作擁有二十年專案管理及資訊工程建案資歷,在區塊鏈領域上除了實際參與比特幣、乙太幣、門羅幣等雲端挖礦,近二年內也參與投資如QSP等30餘個知名ICO及私募的經驗,對市場上ICO陷阱及詐騙有很深度體驗,目前全心致力於推廣BTC等優質幣種及研究區塊鏈產業的應用場景,衷心期待區塊鏈技術掀起另一次資訊革命。
