PASS:被“Passphrase”拯救的上亿资产-ODAILY_PHR

撰文|Cobo金库大掌柜

Trezor又双叒叕被攻破了！1月31日，Kraken安全实验室发推：TrezorModelT和TrezorOne存在软件漏洞，通过物理攻击，可在15分钟内成功窃取私钥，攻击成本约几百美金。

目前为止，安全芯片是硬件上防护此类旁路攻击的唯一解法。设计有安全芯片的硬件钱包，私钥的生成和存储始终在安全芯片内，且无法被读取。

想了解安全芯片如何防御各类旁路攻击，可以查看掌柜的这篇文章《安全芯片到底在保护什么？》

Friend.tech否认有关超过10万用户的数据库被“泄露”的报道:金色财经报道，去中心化社交媒体平台friend.tech背后的团队驳斥了一份声称其超过10万用户的个人信息被“泄露”的报道。这份经过修改的报告最初由The Block发布，报告称Yearn Finance的化名开发商Banteg发布的数据是“泄露”的信息。然而friend.tech团队澄清说，这些信息来自抓取其公共API。“这就像说有人通过查看你的公开Twitter信息来攻击你一样。”[2023/8/22 18:15:07]

如果你恰巧买了没有安全芯片的硬件钱包，那么请切记，一定要启用Passphrase功能。

动态 | 以太坊FairWin类资金盘项目存在合约余额被“掏空”风险:据PeckShield态势感知平台数据显示，近日，一个名为FairWin的资金盘项目尤为引人瞩目，其每日Gas利用率占比达到以太坊网络可承载Gas总量的近半数。PeckShield安全人员深入分析发现，FairWin智能合约存在一个致命缺陷，用户可以制造虚假投注捞取奖池剩余资金。具体而言：FairWin智能合约存在一个remedy() 接口，倘若合约Owner没有通过closeAct() 关闭actStu 时，任何用户都可以通过remedy() 接口修改投注数据，进而实现在0投入的情况下，伪造大量资金投入，并通过userWithDraw() 将合约余额奖金取出。截至目前，尚没有已知攻击发生，且FairWin合约Owner已经将actStu关闭，潜在威胁暂时得以排除，但以太坊网络上尚存在类FairWin仿盘，均可能存在此类漏洞威胁。PeckShield建议玩家在参与此类资金盘游戏时，应警惕此类威胁，并及时将已投注资金取出，确保数字资产免受攻击损失。[2019/9/27]

BIP39中描述到：用户可以决定使用密语来保护自己的助记词。如果不使用密语，则使用空字符串“”代替。

动态 | 济南一股民被“专家”坑得血本无归 炒比特币12万借款打水漂:据生活日报消息，一济南男子于去年12月被拉入一个炒股微信群，群内“专家”通过直播介绍炒股专业知识,但是没过多久就推销炒比特币。该男子下载了一款名为“139ex”的APP炒比特币，起初他按照“专家”建议炒比特币尝到了“秒赚”的甜头，但是后来12万元借款却全部打了水漂。山东千舜律师事务所律师张海杰表示，央行等五部门早就联合印发了《关于防范比特币风险的通知》，比特币不是国家法定货币，也没有相关支付功能，相关的比特币交易不受法律保护。[2019/1/15]

我们通常把Passphrase当做是在原24个助记词基础上添加的第25个助记词。

动态 | 德勤调查显示 39%的受访者认为区块链被“夸大”:据CCN消息，根据德勤2018年全球区块链调查显示，近39%的受访者认为区块链技术“被夸大了”。在这项研究中，来自美国、英国、加拿大、墨西哥、德国、法国和中国的1000多名年收入在5亿美元以上精通区块链技术的高管接受了调查。[2018/8/17]

使用硬件钱包完成创建助记词钱包后，此时Passphrase默认为空字符串“”。设置不同的Passphrase，会进入不同的隐藏钱包，其对应的是完全不同的主私钥，所以派生出来的地址也完全不同。因此设置Passphrase之后，可以理解成是生成了一个完全不同的新钱包。

同一套助记词搭配不同的Passphrase可以创建无数个不同的隐藏钱包。我们可以利用这一点，通过科学的资产配置方法来预防绑架攻击。

比方说，掌柜有10个比特币，1个放在默认钱包，剩下9个平均分散存储在3个不同的隐藏钱包里。当我遇到类似“5美元扳手攻击”这种简单粗暴的绑架攻击时，可以通过暴露默认钱包里的1个比特币来保住大部分资产，即使对方扬言要再来一扳手，掌柜还可以用精湛的演技，表示还有“最后”3个比特币放在隐藏钱包里。

大意如下：

Passphrase如何防御物理攻击？

Trezor用户开启Passphrase功能后，每次进隐藏钱包都需要在原钱包基础上输入一遍Passphrase。所以，黑客拿到的Trezor里只有原始钱包。由于钱包不会保存Passphrase，而黑客又无从得知，因此黑客偷不走隐藏钱包里的数字资产。

但是，Trezor用户可能会因此受到易用性的困扰，每次进入隐藏钱包，都要输入一遍Passphrase，用起来非常麻烦。但这就是Trezor没有使用安全芯片来防护旁路攻击的妥协。

如何开启Passphrase功能？

以Cobo金库为例：

①进入“创建/导入金库”页面，连续点击页面右上角6次，进入设置Passphrase页面

②设置密语，覆盖原钱包，进入隐藏钱包

③如需返回原钱包，可重复步骤1-2，密语保持为空字符串“”即可

点击查看详细教程

进一步的，我们通常会开启“哨兵功能”与Passphrase搭配使用。在主钱包遭到攻击后，用户可以通过“哨兵”及时转移隐藏钱包下的资产，以防Passphrase被猜出的情况。更多关于“哨兵功能”的知识，掌柜会在下篇文章分享，感谢持续关注~

参考链接：

https://blog.kraken.com/

https://github.com/

标签：PASSASSPHRSPHPASS价格ass币千倍币SPHRSphynx Labs

屎币热门资讯