OneKey: How to Safely Lend Your Hardware Wallet to Friends/Team Employees?

吴说区块链 · 2024-10-21T14:40:22.000Z
Author | OneKey If you want to leverage manpower to onboard players and step onto the stage of 'capitalists' on the chain, then this article is prepared for you. Of course, 'slaves' and 'capitalists' are just jokes; the core is about trust and security games in hierarchical management. After reading this article, you will be clear about: (1) How to avoid employees accessing private keys in one-to-many management; (2) How to diversify risks and how to use multi-signatures for employees; (3) Other risks and precautions. No nonsense, let's dive in:
作者 ｜ OneKey

假设你希望使用人力杠杆卷爆链上玩家，迈上链上「资本家」的台阶，那么这篇文章就是为你准备的。当然，「黑奴」和「资本家」只是调侃，核心是关于在上下级管理中的信任与安全博弈。
 
阅读本文之后你将会清楚：
（1）在一对多管理中，如何避免员工接触私钥；
（2）如何分散风险，员工多签如何使用；
（3）其他风险以及注意事项。
 
没有废话，让我们潜入：
 
1、在一对多管理中，如何避免员工接触私钥

1.1 「阉割」热钱包？

我们此前曾注意到有团队使用「阉割版」的小狐狸 Metamask 钱包，将导出私钥和显示助记词的功能删除。然后使用监控软件随时监控额动向。然而，这种做法并没有从根本上解决私钥泄露的风险。
 
首先，使用未经官方认证的「阉割版」钱包，你必须信任它没有后门，毕竟这是个非官方版本。
 
其次，即使私钥不显示，热钱包的私钥仍然以加密文件的形式保存在设备本地。如果设备感染木马或病毒，这些私钥可能通过暴力破解被盗取。
 
不久前慢雾科技的创始人余弦 @evilcos 就已披露木马感染后热钱包私钥缓存暴力破解的问题。（原文）且即使私钥没有被破解，在钱包的解锁状态下，也可能存在交易签名替换、后台操作钱包以及直接记录键盘密码解出私钥文件的风险。
 
当泄露发生，黑客还可能并不会马上转移资产而是放长线钓大鱼，这导致有时甚至不能确定是内鬼还是中招钓鱼。
 
总之，热钱包的这种「阉割」方案只能算是权宜之计，不能从根本上解决私钥安全问题。

1.2 如何在这种情况下使用硬件钱包
 
相比之下，各种硬件钱包能通过其安全设计能够更好地保护私钥，把责任回归在操作员手中。
 
下面以 OneKey 硬件钱包为例，其他品牌需要您自行阅读其文档介绍。
 
OneKey 从设计之初就是没有「导出查看助记词」功能的，只能在硬件钱包中输入确认是否正确。你可以理解为，助记词一旦进入硬件钱包，就是只进不出，只能验证，无法取出。
 
以及，硬件钱包的助记词是保存在离线安全芯片内，使用公钥与外界交互，最新 EAL6+ 安全芯片目前无法被破解，所以助记词是不触网的——除非黑客物理拿到你的本地备份记录小纸条。
 
即使手机电脑被黑被控制，黑客也接触不到你的私钥文件、也无法拿到你的私钥权限，更不能物理操作确认控制你的资金。只有拿到硬件钱包的员工才能物理控制。

具体怎么配置操作呢？三步走。
 
（a）本地离线生成助记词。
 
你可以直接在硬件钱包生成，也可以使用其他开源的工具。在纸上或者金属板上物理备份记录好并确认能够恢复。然后锁在高保护等级的保险箱中，最好还能使用摄像头监控；
 
（b）准备好硬件软件钱包。
 
提前将助记词导入硬件钱包、在配套电脑/手机 App 生成钱包地址。你甚至还可以使用 Passphrase 隐藏钱包，增加一层保护，即使拿到助记词，没有二层密码也无法使用。（教程）
 
设置好 PIN 码后，派发给员工操作员即可。OneKey 硬件钱包在输入助记词后就在 EAL6+ 安全芯片中加密存储私钥助记词，没有「导出查看助记词」功能。
 
员工只能通过操作硬件钱包物理操作确认来操作资产。一机对应一员工负责。下班或者必要时管理员收回硬件钱包，员工便无法再操作。
 
（c）监控员工的操作。
 
您可以在自己的 OneKey 钱包中导入观察地址，获得消息推送。或者使用其他余额监控、大额操作报警服务。
 
未来 OneKey 会更新相关安全监控服务功能，敬请期待。
 
同时，合约授权情况也需要经常甚至每日检查代币风险授权情况，控制好风险敞口。常使用
Revoke 进行检查和取消。
 
通过这种方式，即便发生异常操作，基本唯一可能的原因就员工在他们负责的钱包上进行了不当的物理确认。

2、员工多签如何使用
 
2.1 防范化解单点故障
 
如果非高频场景，我们建议您可以配合 Gnosis Safe 多签使用。
 
配合一两位操作安全员或者队友的物理操作，可以将进一步防范化解个人操作的单点故障风险。
 
这样，即使其中一人被社会工程学攻击或犯错，其他签署人可以起到制衡作用。同时，您仍然可以随时物理收回「钥匙」。您还持有全部的私钥助记词，必要的时候可以控制直接转移。
 
我们在年初写过一篇如何使用多签的简易教程，请参考。
 
在传统企业中，类似的做法被广泛应用，通常通过「多把钥匙」来管理关键资源或资产。比如，公司保险柜需要多个人共同持有钥匙，或者需要多人提供指纹或密码才能解锁某些重要文件或资金。这种方法确保了即使单个人出现问题（例如忘记密码、受胁迫等），也不会直接导致资源被滥用或泄露。

3、其他风险以及注意事项
 
3.1 降低风险敞口
 
分散资金。将大量资金集中在单个钱包或账户中，容易增加被黑客盯上、被恶意内部操作或被社会工程学攻击的风险。
 
同时，频繁授权和大额交易也会扩大被利用的风险敞口。我们建议控制好潜在损失，把人均控制在较小的范围内。
 
您可以按照不同业务场景或资金规模，划分不同权限的操作钱包。低风险操作使用小额钱包，高风险、大额操作则结合多签钱包进行处理。
 
3.2 社会工程学攻击
 
无论采取何种技术手段，最大的风险始终是人。
 
千防万防，家贼难防。实施多签安全员机制、透明化操作记录相当重要。当发生员工离职，保险起见您可以转移到另外一个钱包或者助记词去使用。
 
同时，建议保持硬件钱包及其操作在可监控的范围之中，不允许员工拆开或者带离工作范围。
 
假设出现内鬼进行暴力破解、拆开黑入旁路攻击，破解 OneKey 风险还是比较低的。 前者，输入错误 10 次将会彻底抹去数据，攻击者无从破解。 后者，我们的方案是 EAL6+ 加密芯片是内置底层检测算法。通电后如果是非官方固件的签名或者有异常电路，会被检测到并硬抹除数据。   
 
甚至即使是官方的固件，如果试图进行降级，也会被抹除的。极端情况下，当硬件钱包破解方式被披露，您可以及时收回，更新安全补丁最新固件，等待官方消息。
 
此外，黑客可能会通过各种社交工程手段诱导员工做出物理错误操作。因此，除了技术防范，还需要加强员工的安全意识培训，确保他们不会轻易上当、不轻易进行授权签名等敏感操作。
 
尤其 Permit 签名的钓鱼，是目前绝大多数的资金被盗的万恶之源。可以看这篇科普。这个季度，OneKey 会增加硬件钱包的高级签名解析，帮助员工识别这种风险。
 
3.3 外部攻击与网络钓鱼风险
 
员工在使用硬件钱包时，可能遭遇恶意软件、网络钓鱼攻击或伪造的官方网站。
 
在此建议严格管理操作设备上安装的软件、插件，禁止安装白名单之外的 App。此外，OneKey 自带风险网页识别的功能，您仍可以额外使用 ScamSniffer、Pocket Universe 等安全检测插件。
 
以及，确保公司网络安全不被劫持。
Découvrez-en plus sur le créateur

Dernières actualités
