🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《WEB3+》官方Telegram
小心!冷錢包Trezor出現仿冒版
進入區塊鏈世界的第一步,就是要有個加密貨幣錢包(Cryptocurrency wallet),按照私鑰的儲存方式,可分為連網存取私鑰服務的熱錢包(Hot Wallet),以及將私鑰儲存在離線裝置(紙張、USB抑或腦袋)的冷錢包(Cold Wallet),冷錢包雖然使用上比熱錢包麻煩,但相對安全。
兩大冷錢包品牌Trezor與Ledger,皆提供透過USB設備保存私鑰,並連接手機App進行交易的服務,其中Ledger Live要求使用者針對每種加密貨幣,安裝專屬的應用程式,以獨立運作確保資訊安全;Trezor則提供PC與行動裝置的軟體,操作更為方便。
美國加密貨幣律師事務所The Crypto Lawyers的加密律師拉斐爾.雅科比(Rafael Yakobi)發現這個現象,他警告說:「正確和安全地使用加密錢包,得先盡力做到的盡責調查(due diligence),如果你認識任何Trezor的使用者,請務必告知他們這件事。」
🔆你是哪一類的星球人?完成「區塊鏈多重宇宙」心理測驗,立刻抽CoolWallet冷錢包
助記詞也有「分靈體」,會更安全嗎?
這其實很難怪罪iPhone使用者,在下載軟體時不去判斷軟體是否為真,若在台灣的iOS應用程式商店App Store輸入「Trezor Suite」,會出現4個預覽圖片相似度極高的搜尋結果,其中有3款都不是由Trezor公司推出的。
仔細去比對開發者與敘述,就能判斷正牌官方App叫做「Trezor Suite Lite」,這現象在英國App Store更誇張,冒牌App搜尋結果在正版的之上。台灣的Google Play應用程式商店經實測並未出現盜版Trezor軟體。
Trezor Suite Lite能讓使用者,藉此軟體接上自己的冷錢包裝置,以交易加密資產、追蹤其投資組合和收益,如果使用者忘記他們的錢包App登錄詳細資料,供應商會要求使用者離線保存的助記詞。
助記詞是錢包的最後一道防線,可說是另一種形式的私鑰,藉由演算法將64進位的私鑰,轉換成若干個常見的英文單詞,正常來講,一個錢包只有一個助記詞,且不能修改,當你忘記私鑰時,能透過這些相對有跡可循的英文單字,從錢包軟體中收回資金。
但一般錢包的助記詞,基本上還是要求客戶自己記下來,Trezor官方甚至推出金屬磁片的周邊商品,方便保存助記詞。
Trezor也有推出另一個助記詞解決方案叫「Shamir分片備份」,與Ledger最近被罵翻的私鑰恢復服務「Recover」不同,比較類似《哈利波特》分靈體的概念,能創造最多16組的助記詞,使用者可以設定「通過驗證」的助記詞數量,譬如設定5組備份,可隨意拿其中3組通過認證,可以分開來放,就算丟失其他兩組也不是問題。
假設使用者被那些偽裝成Trezor Suite Lite的木馬程式騙,駭客想盜取助記詞,還得猜中使用者設定的「分靈體」數量,這只限那些有Shamir備份的人。
如果只有一組助記詞,剛好又上了當,那就只能忍痛接受悲劇了,盜版軟體雖然無法直接獲得存在冷錢包的私鑰,但可以騙到你的助記詞。
蘋果商店漏洞要注意!
蘋果應用程式商店的規範,並無法阻止木馬App入侵,這件事在iOS生態系顯得更令人不安,畢竟多數使用者會信任iOS,正是其自成一體且封閉而安全的系統環境。
一般而言,在App Store上架軟體需要蘋果帳號,要上架的軟體須符合介紹頁面列出的功能。而蘋果官方在搜集和處理所需的使用者數據、隱私方面,都有嚴格的指導方針;App必須由自主開發的內容打造,如果沒有,開發者就必須獲得內容的授權許可。
然而,加密貨幣在美國監管政策模糊,尤其是美國,導致蘋果公司針對加密資產相關程式實施額外規則,加密貨幣交易所可在合乎當地法規的地區,提供託管式加密錢包的App,而非託管錢包App則適用於更通用的規範:無法使用加密貨幣或NFT來解鎖新功能,開發人員不得在App中追加將用戶重新導向第三方網站購買商品的連結。
但前述規範都不能取代使用者自己睜大眼睛,去區分是否有盜版軟體存在。
🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《WEB3+》官方Telegram
核稿編輯:高敬原
