imToken 测评通关攻略 & ConsenLabs
这篇文章有帮助吗？
0 人中有 0 人觉得有帮助
还有其它问题？BigMouth知识百科
什么是钱包？
&&&&&&&&钱包是密钥的管理工具, 他只包含密钥而不是确切的某一个代币。钱包中包含成对的私钥和公钥。用
户用私钥来签名交易, 从而证明该用户拥有交易的输出权。而输出的交易信息则存储在区块链中。
&&&&&&&&用户在使用BigMouth时, 你的Keystore,助记词, 明文私钥, 都是钱包, Keystore是你加了"锁"的钱包, 而
助记词和明文私钥是完全暴露在外的钱包, 没有任何安全性可言, 所以在使用助记词和明文私钥时, 一定要
注意保密。
什么是Keystore？
&&&&&&&&Keystore 文件是以太坊钱包存储私钥的一种文件格式 (JSON)。它使用用户自定义密码加密，以起到
一定程度上的保护作用, 而保护的程度取决于用户加密该钱包的密码强度, 如果类似于123456这样的密码,
是极为不安全的。
&&&&&&&&在使用Keystore时有两点需要注意:
&&&&&&&&1. 使用不常用, 并且尽可能复杂的密码加密Keystore文件;
&&&&&&&&2. 一定要记住加密 Keystore的密码, 一旦忘记密码, 那么你就失去了 Keystore的使用权, 并且大嘴钱
包无法帮你找回密码, 所以一定要妥善保管好 Keystore 以及密码。下面是keystore的样式:
&&&&&&&&{"version":3,"id":"b7467fcb-3c8b-41be-bccf-73d43a08c1b7",
&&&&&&&&"address":"540f1faf0a2f4e751",
&&&&&&&&"Crypto":{"ciphertext":"78ed11b8b6bf29b00f52b42ba6ac078e626af7edcf885c3b68154a4",
&&&&&&&&"cipherparams":{"iv":"d96695fe30ace985a9066f"},
&&&&&&&&"cipher":"aes-128-ctr","kdf":"scrypt","kdfparams":
&&&&&&&&{"dklen":32,"salt":"6276cfda7ddb8a8d0994cea39edd1cdc","n":1024,"r":8,"p":1},
&&&&&&&&"mac":"d889a5dc609c3f312a476df8c837eddb"}}
PS: Keystore 的密码是唯一、不可更改的, 如果想更改钱包密码需要使用助记词或明文私钥重新导入钱包,
并使用新密码加密, 生成新的 Keystore。
什么是助记词？
&&&&&&&&助记词是明文私钥的另一种表现形式, 最早是由BIP39提案提出, 其目的是为了帮助用户记忆复杂的私
钥(64位的哈希值)。助记词一般由12、15、18、2个单词构成, 这些单词都取自一个固定词库, 其生成顺序
也是按照一定算法而来, 所以用户没必要担心随便输入12个单词就会生成一个地址。
&&&&&&&&虽然助记词和 Keystore 都可以作为私钥的另一种表现形式, 但与Keystore不同的是, 助记词是未经加
密的私钥, 没有任何安全性可言, 任何人得到了你的助记词, 可以不费吹灰之力的夺走你的资产。
&&&&&&&&所以在用户在备份助记词之后, 一定要注意三点:
&&&&&&&&1. 尽可能采用物理介质备份, 例如用笔抄在纸上等, 尽可能不要采用截屏或者拍照之后放在联网的设
备里, 以防被黑客窃取;
&&&&&&&&2. 多次验证备份的助记词是否正确, 一旦抄错一两个单词, 那么将对后续找回正确的助记词带来巨大
&&&&&&&&3. 将备份后的助记词妥善保管, 做好防盗防丢措施。
&&&&&&&&PS: 用户可以使用备份的助记词, 重新导入 BigMouth , 用新的密码生成一个新的 Keystore, 用这种方
法来修改钱包密码。
明文私钥是什么？
&&&&&&&&我们常说, 你对钱包中资金的控制取决于相应私钥的所有权和控制权。在区块链交易中, 私钥用于生成
支付货币所必须的签名, 以证明资金的所有权。
&&&&&&&&私钥必须始终保持机密, 因为一旦泄露给第三方, 相当于该私钥保护下的资产也拱手相让了。它不同于
Keystore, Keystore 是加密过后的私钥文件, 只要密码强度足够强, 即使黑客得到 Keystore, 破解难度也足
&&&&&&&&私钥实际上并不是存储在网络中, 而是由用户生成并存储在一个文件或者简单的数据库中, 称为钱包。
存储在用户钱包中的私钥完全独立, 可由用户的钱包软件生成并管理, 无需区块链或者网络连接。
&&&&&&&&用户的钱包地址就是由私钥通过椭圆曲线加密生成公钥, 进而生成以0x开头的42位地址。 私钥的样式
为 64 位16进制的哈希值字符串, 例如:
&&&&&&&&56f759ece75f0ab1b783893cbed4ff24dd5fcc31cf6
&&&&&&&&PS: 用户可以使用明文私钥导入BigMouth,用新的密码生成一个新的 Keystore
注意： (记得要将旧的Keystore 删除), 用这种方法来修改钱包密码。
钱包里所说的地址是什么？
&&&&&&&&地址由公钥(公钥是私钥通过非对称加密算法生成)生成, 以0x开头的42位16进制哈希值字符串。
&&&&&&&&例如: 0xc2d5ef1b5e6234c6bcbce87bb05d579c8e9d5720
&&&&&&&&如果将钱包比作银行卡, 那么钱包地址就是银行卡号。
什么是去中心化
&&&&&&&&在一个分布有众多节点的系统中，每个节点都具有高度自治的特征。节点之间彼此可以自由连接，形
成新的连接单元。任何一个节点都可能成为阶段性的中心，但不具备强制性的中心控制功能, 没有单一方
控制数据或信息。
&&&&&&&&节点与节点之间的影响，会通过网络而形成非线性因果关系。这种开放式、扁平化、平等性的系统现
象或结构，我们称之为去中心化。区块链上的每一方都可以访问整个数据库及其完整的历史记录。直接验
证其交易合作伙伴的记录，而无需中间人。
&&&&&&&&例如用户在使用BigMouth进行P2P交易时,BigMouth并不会充当第三方担保的角色, 一切行为都是用
户自主发起, 就像私钥、助记词和 Keystore 这些钱包信息, 都是本地保存在用户的手机里, 并没有保存在大
嘴钱包的数据库中,所以用户要做好安全措施,一旦丢失,BigMouth无法帮你找回资产。
&&&&&&&&区块链采取单向哈希算法，同时每个新产生的区块严格按照时间线形顺序推进，时间的不可逆性导致
任何试图入侵篡改区块链内数据 信息的行为都很容易被追溯，导致被其他节点的排斥，从而可以限制相关
不法行为。
&&&&&&&&举个例子, 当你使用BigMouth 发起一笔交易转账, 如果你一不小心将地址填写错误, 那么这笔交易是
无法回滚的, 除非交易双方链下协商, 否则 BigMouth 无法改变这次交易。
Txld是什么？
&&&&&&&&TxId其实就是交易编号, 例如我们从A地址转10个ETH到B地址 , 我们会使用A地址进行私钥签名, 得到
一个签名的 SIGN, 然后这个签名和交易合并, 最后进行哈希值运算, 就得到了TXID, 然后向网络广播, 如果
交易成功, 你就可以在区块链网络上查询到该交易编号, 也就是TxId。
数字资产防盗策略
&&&&&&&&防盗的实质是防止我们的私钥泄露, 或被黑客盗取。
&&&&&&&&在防盗策略上, Keystore 和助记词(或者是明文私钥)的侧重点有所不同, 由于 Keystore 是被加密过后
的私钥, 并且其内容都是加密过后的信息, 采取抄写这种备份策略不是很科学, 所以可以存储在自己的 U 盘
里, 尽量不要存储在线上或者云端, 存储 Keystore 时要和密码分开存储, 这样即使被黑客盗取 Keystore,
也很难破解。
&&&&&&&&在存储助记词时, 就需要更加谨慎一些, 因为助记词毫无安全性可言, 一旦被第三方窃取, 那么你的资
产将面临巨大的威胁, 所以建议采用物理介质备份, 抄写在一张纸上, 并且妥善保管, 抄写时要注意准确性,
也要注意长久保存, 不要出现字迹看不清楚等问题。
数字资产防丢策略
&&&&&&&&丢失钱包基本有三种情况:
&&&&&&&&1. 用户在删除钱包时, 没有备份钱包。我们建议用户在创建完钱包之后, 立即备份钱包, 采用双重备份
和多次备份两种策略。双重备份是指 Keystore 备份和助记词备份, 多次备份是指在备份完 Keystore 和助
记词之后, 要验证备份是否正确, 反复验证, 确认无误即可。
&&&&&&&&2. 用户忘记了 Keystore 密码。我们建议用户使用强度较高的密码加密 Keystore, 这个密码最好是用
户随机生成, 不常用的密码。这样提高了 Keystore 的安全性, 但是也对用户保管密码带来了巨大的挑战, 我
们建议用户使用 1password 或者 lastpass 等密码管理工具, 妥善保管好自己的密码, 以防遗忘。
&&&&&&&&3. 遗失了私钥。这里的私钥包括助记词、Keystore和明文私钥, 有些用户在备份助记词时, 抄写过后
并没有做验证, 或者自己过于潦草, 导致后期很难辨识, 这些都会导致无法再找到自己的钱包。所以我们在
备份钱包时要仔细认真, 在后期保管钱包时, 要善于使用一些安全的管理工具, 确保自己可以随时找到私目前最全的主流币钱包指南_巴比特_服务于区块链创新者
目前最全的主流币钱包指南
，以下六款都是数字币的钱包，应该能涵盖市面上绝大多数的主流数字货币了。
”，创建钱包“Create a new wallet”
—一串n个词的单词串，还有就是password。
—记下来。
”，系统会生成一串12个单词组成的助记词，抄下来，保存在可靠的地方，这串助记词，可在你忘记登陆密码的情况下恢复钱包，这串词就是用来生成私钥的。
”，会出现以下界面，输入注册时的密码点击“继续”，以便再次登陆，如果选择“忘记钱包”，则彻底抹除信息。
”，先登陆blockchain.info网页版，然后生成二维码，用手机扫描登录
”，输入12个单词的助记词，也可以找回钱包。
”页面，按“+”，可以添加基于以太坊的数字货币
”页面下，可以管理钱包，比如删除，导入，备份。
”，和BlockChain钱包一样，也是12个单词组成的单词串。
”页面下，点击“导入钱包”，然后输入助记词和密码(同创建钱包时的密码)。
，请点击保存。
的，请记下或者打印出这个密码，妥善保存。
”，下面这张图片就是，里面有你账户的重要信息，请打印后保存在安全的地方，不要给别人，千万别掉了。
”，用keystore或者私钥，地址等来解锁钱包。
本文首发自微信公众号：“肉摩陀”
发文时比特币价格
￥24848.09
您需要登录后才可以回复
不错，感谢作者整理
『目前最全的主流币钱包指南_巴比特_服务于区块链创新者』http://t.cn/RpWkkLF
目前最全的主流币钱包指南_巴比特_服务于区块链创新者
目前最全的主流币钱包指南_巴比特_服务于区块链创新者
目前最全的主流币钱包指南_巴比特_服务于区块链创新者 最近这段时间，一直有人问，数字货币的钱包是什么，去哪里下载，怎么转账，等等，既然问的人多了，不如就写个汇总吧。先来张图，以下六款都是数字币的钱包，应该能涵盖市面上绝大多数的主流数字货币了。…
不是有一种冷钱包？
哪里看出清晰了，BlockChain.info钱包是网页版，也有Andoid App，很多比上面用户多得多的轻钱包也没有列出来，各种HD类钱包。。。
起的名字有夸大之嫌
不错，很清晰
非常实用的操作指南！谢谢作者及时整理！2142人阅读
区块链（6）
首先，我们来理解一下热存储和冷存储的区别，实际上这是比特币这种数字钱币所带来的需求，正如我们现实生活中一样，比如我们有10万块钱，我们可能拿出2000供自己最近生活吃饭用，把剩下的98000元放进银行里面，那么2000对应的就是热存储，98000放进银行就对应着冷存储。
我认为热存储和冷存储的实质性区别在于用户私钥是否online 或者 offline，如果online，存有比特币的账户可能私钥被窃取，就有损失money的风险，然后我们把它放进“银行”，不联网处理即可。
1.分层确定性钱包
我们一个一个来讲，分层确定性钱包，这是我觉得4个当中最有深度和有意思的一个方法，by the way，让我们先来学习一种ECDSA支持的分层电子签名算法。
大家可以看到cold side 存储信息和地址生成信息，然后将地址生成信息一次性转给热存储端，当热端存储要给冷存储转账时候，就按照次序生成地址。冷端存储上线后，也会按顺序生成地址，然后查看相应地址收到的款项，直到某一地址没有收款位置。
具体的算法如下：
2.brain wallet（大脑钱包）
其主要原理是用可预测的算法把口令转化成一对公私钥。
他的应用场景就是物理安全性较差的时候（比如出差，旅行等）
其实是为了比特币社区为了方便大家使用而加入的，你想想谁能出门背下5KYZdUEo39z3FPrtuX2QbbwGnNP5zTd7yyr2SC1j299sBCnWjss这么长的私钥。
用几个口令来代替，岂不美哉。
Brainwallet.org 在某种意义上缓解了这个尴尬的局面。相对于难以记忆的一长串 0 和 1，用户通过输入自行编写的一串字符串，即可与一个固定的密钥生成一一对应的映射。其采用的算法其实很简单，通过对用户的输入进行一次 SHA256 操作，然后将生成的 256 位 hash 值作为私钥，其具体的代码如下：
把密钥印在纸上，然后把纸锁在保险箱里面。
4.tamper-resistant device防损硬件（硬件钱包）
用他来保存密钥或用他来生成密钥，总之，这类设备本身不会泄露密钥或输出密钥， 而只是在我们按下某个按钮或者输入设备密码后显示密钥的保管状况。一旦设备丢失或者被盗，我们马上就能知道。
别人买硬件钱包写的理由：
谈谈我为什么要入手硬件钱包Keepkey：
比特币的控制权就是私钥，用私钥就可以转出某地址的币，地址是公开的。所以钱包的安全，其实就是私钥的安全。私钥容易发生的危险有：
1，遗忘，误删，
英国某早期接触比特币的玩家，扔旧电脑没有备份里面的钱包，7500个币就永远的锁死在那个地址里，没人调的出来。
失去私钥，失去一切。
5.线上交易所
我就说中国这几个。
中国的okcoin和火币coin好像是最火的两家，近期也支持比特币兑换人民币了，前几个月被政府取消了兑换。
在这两个线上交易所交易：
优点是：方便，快捷
缺点是：交易所垮了，你的钱也垮了。。交易所跑路了，你也就。。交易所被盗了，你也就。。
比如日本门口沟事件。
当然，实际上，这些交易所并没有真正的把比特币打入你的账上，只是在他的内部数据库上给你写上，你有多少比特币，到了你想兑现钱时，再用那时的汇率给你兑换。（因为换成真正的比特币，1.麻烦 2.要交易费用）知名数字钱包安全漏洞：加密数字货币资产面临被盗风险
热门浏览 Hot
产品及服务 New
> 知名数字钱包安全漏洞：加密数字货币资产面临被盗风险
知名数字钱包安全漏洞：加密数字货币资产面临被盗风险
作者：中新网
加密数字货币资产的安全性完全建立在加密数字钱包私钥本身的安全性上，私钥是唯一的数字资产凭证。因为私钥一旦创建就不能修改，没法重置，只要私钥不丢失，资产就不会丢失。因此整个加密数字资产的安全性话题都是围绕私钥的存储和使用来进行的。对于目前移动端钱包所使用的轻钱包模式来说，用户终端私钥存储的安全性是非常核心和关键的问题，如果设计不当则有可能会导致私钥的流失、资产的被盗。基于猎豹移动发布的《2018全球加密数字货币钱包安全白皮书》内容，我们首先对市面上的数字钱包产品在私钥存储问题上进行了安全分析，发现Bitcoin Wallet 和Jaxx Blockchain Wallet 两款产品在私钥存储中存在巨大的安全漏洞。Bitcoin Wallet 是一款非常著名的比特币的钱包，用户安装量超过了50万用户，而且有着良好的口碑。但是在分析的时候发现，Bitcoin Wallet助记词是以明文的方式存放在系统的/data/data/com.bitcoin.mwallet /files/profile 文件里面的。也就是说Bitcoin Wallet已经完全将资产的安全性交给了系统来保护，但是我们知道系统本身是非常复杂的，而且充满了各种安全漏洞，只要利用一个漏洞就可以瞬间获取到Bitcoin Wallet钱包的助记词和私钥。例如：只要你的手机里面有任何APP利用漏洞拿到了系统的ROOT权限，那么这个APP就可以瞬间拿到钱包的助记词，导致数字资产可以随时被盗取，而上述动作是完全可以在后台发生的，用户完全不知道；更可怕的是，即使没有应用有ROOT权限，只需将手机的充电端口连接到黑客控制的充电设备也可以在几分钟时间内拿到钱包的助记词，导致数字资产可以随时被盗取。根据猎豹移动提供的白皮书，存储在用户设备里面的私钥/助记词是必须使用安全的加密方法进行加密的，Bitcoin Wallet 作为一款知名的数字钱包，因为未能正确的加密存储用户设备里面的钱包的私钥/助记词，已经让超过50万的用户面临极大的安全风险。Jaxx是另一个着名的移动加密货币钱包，具有大量功能，包括支持多种货币类型，以及最近添加的数字货币兑换平台，允许用户在钱包内兑换比特币，以太币和ERC20代币。在检查Jaxx的数据备份机制时，我们发现了重大的安全漏洞，比Bitcoin Wallet更严重。 事实上，存储在Jaxx中的私钥可以被黑客窃取，只需很少的努力。要获取JAXX的私钥文件，有2个步骤需要完成：1)获取存储私钥的数据文件；2)对存储私钥的数据文件进行解密步骤一：获取存储私钥的数据文件我们有2种方法可以获取存储私钥的数据文件：方法1)利用系统的备份机制，通过adb backup 命令或BackupManagerService 提供的API，就能够把JAXX存储私钥的数据文件拿到手。这样的安全漏洞的产生，是因为JAXX 开发团队忽略了Android APP的一个重要的安全设置参数android:allowBackup 的使用，没有正确的设置android:allowBackup 参数而导致安全漏洞出现。在猎豹移动发布的2018加密货币数字钱包安全白皮书里面，数据备份的安全风险是一个很容易被人忽视的内容。方法2)利用系统漏洞，绕过系统的安全边界，拿到用于存储私钥的数据文件。步骤二：对存储私钥的数据文件进行解密JAXX 对存储私钥的数据文件使用了AES算法进行加密处理。在密钥长度满足一定条件且算法正常使用的情况下，AES加密以后的文件基本上是不可能被破解的。但是JAXX团队对于AES加密算法使用上存在重大错误，没有正确的使用AES加密算法。JAXX的AES加密用的关键参数是在代码硬编码的而不是按照一定安全规则随机生成，导致只需要通过简单的逆向分析能力就能够拿到AES加密参数，然后对存储私钥的数据文件的内容进行解密。下图显示了JAXX产品里面使用的固定的AES加密参数：在完成上述2个步骤以后，JAXX钱包的私钥文件就能够非常轻而易举的被攻击者拿到，而且能够轻而易举的解密出来。JAXX发布至今已经有超过10万用户在使用，而且最新的更新里面还增加了对交易所的支持，可见用户对于JAXX的喜爱还是很高的。但是因为没有使用正确的安全设计理论，导致了JAXX这10万用户已经处于极高的安全风险。猎豹移动发布的加密数字货币钱包安全白皮书，一方面是让用户更清楚的认识和了解数字货币钱包的安全性问题、提高警惕；另一方面通过提出数字货币钱包安全标准的方式促进行业内同类产品的安全升级，共同保护用户资产的安全性。我们相信Bitcoin Wallet产品团队和Jaxx Blockchain Wallet产品团队都能在短时间内完成漏洞的修复，但是因为私钥已经存在被泄露的风险，因此对于这2个产品的用户，应在开发商完成漏洞修补升级版本之前立即换用其他安全的加密数字钱包应用，例如猎豹移动发布的SafeWallet，并重新创建一个全新的钱包地址，通过转账的方式将旧地址的资产转移到新地址，最后将旧地址作废，只有这样才能确保数字资产的安全。
您可能感兴趣的文章
03月09日 09:21
03月09日 09:21
03月08日 09:20
03月07日 09:10
02月07日 10:37
08月10日 15:21
10月15日 21:45
09月12日 23:32
09月19日 12:40
02月05日 15:02
02月05日 15:02
02月05日 15:02
02月05日 15:02
02月05日 15:02
02月05日 15:02
友情链接：