作者 ｜ OneKey

假設你希望使用人力槓桿卷爆鏈上玩家，邁上鍊上「資本家」的臺階，那麼這篇文章就是爲你準備的。當然，「黑奴」和「資本家」只是調侃，核心是關於在上下級管理中的信任與安全博弈。
 
閱讀本文之後你將會清楚：
（1）在一對多管理中，如何避免員工接觸私鑰；
（2）如何分散風險，員工多籤如何使用；
（3）其他風險以及注意事項。
 
沒有廢話，讓我們潛入：
 
1、在一對多管理中，如何避免員工接觸私鑰

1.1 「閹割」熱錢包？

我們此前曾注意到有團隊使用「閹割版」的小狐狸 Metamask 錢包，將導出私鑰和顯示助記詞的功能刪除。然後使用監控軟件隨時監控額動向。然而，這種做法並沒有從根本上解決私鑰泄露的風險。
 
首先，使用未經官方認證的「閹割版」錢包，你必須信任它沒有後門，畢竟這是個非官方版本。
 
其次，即使私鑰不顯示，熱錢包的私鑰仍然以加密文件的形式保存在設備本地。如果設備感染木馬或病毒，這些私鑰可能通過暴力破解被盜取。
 
不久前慢霧科技的創始人餘弦 @evilcos 就已披露木馬感染後熱錢包私鑰緩存暴力破解的問題。（原文）且即使私鑰沒有被破解，在錢包的解鎖狀態下，也可能存在交易簽名替換、後臺操作錢包以及直接記錄鍵盤密碼解出私鑰文件的風險。
 
當泄露發生，黑客還可能並不會馬上轉移資產而是放長線釣大魚，這導致有時甚至不能確定是內鬼還是中招釣魚。
 
總之，熱錢包的這種「閹割」方案只能算是權宜之計，不能從根本上解決私鑰安全問題。

1.2 如何在這種情況下使用硬件錢包
 
相比之下，各種硬件錢包能通過其安全設計能夠更好地保護私鑰，把責任迴歸在操作員手中。
 
下面以 OneKey 硬件錢包爲例，其他品牌需要您自行閱讀其文檔介紹。
 
OneKey 從設計之初就是沒有「導出查看助記詞」功能的，只能在硬件錢包中輸入確認是否正確。你可以理解爲，助記詞一旦進入硬件錢包，就是隻進不出，只能驗證，無法取出。
 
以及，硬件錢包的助記詞是保存在離線安全芯片內，使用公鑰與外界交互，最新 EAL6+ 安全芯片目前無法被破解，所以助記詞是不觸網的——除非黑客物理拿到你的本地備份記錄小紙條。
 
即使手機電腦被黑被控制，黑客也接觸不到你的私鑰文件、也無法拿到你的私鑰權限，更不能物理操作確認控制你的資金。只有拿到硬件錢包的員工才能物理控制。

具體怎麼配置操作呢？三步走。
 
（a）本地離線生成助記詞。
 
你可以直接在硬件錢包生成，也可以使用其他開源的工具。在紙上或者金屬板上物理備份記錄好並確認能夠恢復。然後鎖在高保護等級的保險箱中，最好還能使用攝像頭監控；
 
（b）準備好硬件軟件錢包。
 
提前將助記詞導入硬件錢包、在配套電腦/手機 App 生成錢包地址。你甚至還可以使用 Passphrase 隱藏錢包，增加一層保護，即使拿到助記詞，沒有二層密碼也無法使用。（教程）
 
設置好 PIN 碼後，派發給員工操作員即可。OneKey 硬件錢包在輸入助記詞後就在 EAL6+ 安全芯片中加密存儲私鑰助記詞，沒有「導出查看助記詞」功能。
 
員工只能通過操作硬件錢包物理操作確認來操作資產。一機對應一員工負責。下班或者必要時管理員收回硬件錢包，員工便無法再操作。
 
（c）監控員工的操作。
 
您可以在自己的 OneKey 錢包中導入觀察地址，獲得消息推送。或者使用其他餘額監控、大額操作報警服務。
 
未來 OneKey 會更新相關安全監控服務功能，敬請期待。
 
同時，合約授權情況也需要經常甚至每日檢查代幣風險授權情況，控制好風險敞口。常使用
Revoke 進行檢查和取消。
 
通過這種方式，即便發生異常操作，基本唯一可能的原因就員工在他們負責的錢包上進行了不當的物理確認。

2、員工多籤如何使用
 
2.1 防範化解單點故障
 
如果非高頻場景，我們建議您可以配合 Gnosis Safe 多籤使用。
 
配合一兩位操作安全員或者隊友的物理操作，可以將進一步防範化解個人操作的單點故障風險。
 
這樣，即使其中一人被社會工程學攻擊或犯錯，其他簽署人可以起到制衡作用。同時，您仍然可以隨時物理收回「鑰匙」。您還持有全部的私鑰助記詞，必要的時候可以控制直接轉移。
 
我們在年初寫過一篇如何使用多籤的簡易教程，請參考。
 
在傳統企業中，類似的做法被廣泛應用，通常通過「多把鑰匙」來管理關鍵資源或資產。比如，公司保險櫃需要多個人共同持有鑰匙，或者需要多人提供指紋或密碼才能解鎖某些重要文件或資金。這種方法確保了即使單個人出現問題（例如忘記密碼、受脅迫等），也不會直接導致資源被濫用或泄露。

3、其他風險以及注意事項
 
3.1 降低風險敞口
 
分散資金。將大量資金集中在單個錢包或賬戶中，容易增加被黑客盯上、被惡意內部操作或被社會工程學攻擊的風險。
 
同時，頻繁授權和大額交易也會擴大被利用的風險敞口。我們建議控制好潛在損失，把人均控制在較小的範圍內。
 
您可以按照不同業務場景或資金規模，劃分不同權限的操作錢包。低風險操作使用小額錢包，高風險、大額操作則結合多籤錢包進行處理。
 
3.2 社會工程學攻擊
 
無論採取何種技術手段，最大的風險始終是人。
 
千防萬防，家賊難防。實施多籤安全員機制、透明化操作記錄相當重要。當發生員工離職，保險起見您可以轉移到另外一個錢包或者助記詞去使用。
 
同時，建議保持硬件錢包及其操作在可監控的範圍之中，不允許員工拆開或者帶離工作範圍。
 
假設出現內鬼進行暴力破解、拆開黑入旁路攻擊，破解 OneKey 風險還是比較低的。 前者，輸入錯誤 10 次將會徹底抹去數據，攻擊者無從破解。 後者，我們的方案是 EAL6+ 加密芯片是內置底層檢測算法。通電後如果是非官方固件的簽名或者有異常電路，會被檢測到並硬抹除數據。   
 
甚至即使是官方的固件，如果試圖進行降級，也會被抹除的。極端情況下，當硬件錢包破解方式被披露，您可以及時收回，更新安全補丁最新固件，等待官方消息。
 
此外，黑客可能會通過各種社交工程手段誘導員工做出物理錯誤操作。因此，除了技術防範，還需要加強員工的安全意識培訓，確保他們不會輕易上當、不輕易進行授權簽名等敏感操作。
 
尤其 Permit 簽名的釣魚，是目前絕大多數的資金被盜的萬惡之源。可以看這篇科普。這個季度，OneKey 會增加硬件錢包的高級簽名解析，幫助員工識別這種風險。
 
3.3 外部攻擊與網絡釣魚風險
 
員工在使用硬件錢包時，可能遭遇惡意軟件、網絡釣魚攻擊或僞造的官方網站。
 
在此建議嚴格管理操作設備上安裝的軟件、插件，禁止安裝白名單之外的 App。此外，OneKey 自帶風險網頁識別的功能，您仍可以額外使用 ScamSniffer、Pocket Universe 等安全檢測插件。
 
以及，確保公司網絡安全不被劫持。