众所周知,POS钱包在线挖矿一直存在严重的安全隐患,这次NXT被盗事件,就是POS钱包在解锁钱包的情况下进行在线挖矿,黑客轻易的将在线钱包中的几千万NXT的币盗走。 我们知道,多重签名可以提高钱包的安全性,但是可惜的是,出于实现挖矿简单性的考虑,现在还没有一个币能实现多重签名地址的挖矿。如果钱包采用多重签名,黑客必须同时拥有用户电脑和多重签名中心的私钥的控制权,才有可能转移用户钱包中的币。
POS在线挖矿需要使用私钥签名移动钱包的币,但是这种交易是把自己的币发送给自己,显然多重签名中心直接对这种类型的交易签名,是没有风险的,多重签名中心对于POS钱包的挖矿请求也没有必要进行短信认证,多重签名中心只需要对发送给他人地址的交易请求发出短信验证要求即可。
假设有个黑客,攻击了用户的钱包并获得私钥,这个时候,用户不用担心,因为,黑客仍然无法进行转账操作,因为还有一个私钥控制在多重签名验证服务器的手里,只要黑客发起转移币的请求,多重签名中心就会向钱包持有人发送短信验证码,除非黑客可以获取用户的短信验证码,钱包中的币才能够被转移。
如果黑客攻击了多重签名中心的服务器,并盗取了服务器的全部私钥,但是因为黑客不太可能获取大多数用户客户端的私钥,只有中心私钥签名而没有用户端私钥签名的交易请求是不会被全网确认的。不过目前如BitGO实现的网页版本的多重签名的全部私钥都保存在服务器上,黑客盗取全部私钥的几率并不低。要彻底保护钱包安全,多重签名的部分私钥必须只掌握在用户自己手中。
多重签名中心的私钥是采用用户的另外一个密码进行加密的,除了用户自己,他人很难解开用户在中心上的私钥(除非某用户密码太短才可能被暴力破解或猜中),如果中心发觉黑客在不断地尝试密码,可以提醒用户更换登陆账户或钱包地址,即使黑客和多重签名中心员工知道用户的登陆密码,中心还会向用户手机发送手机验证码来验证用户的再次确认,中心服务器这样的安全机制使得中心内部员工也无法使用服务器上客户的私钥。
用户和中心只要定期更换多重签名地址,就可以减少两个私钥同时被盗的可能性。
用户在申请完实名钱包后,一定要备份好自己的钱包私钥和中心的密码,否则无人能找回币了。据马币官方介绍,他们将开发一个遗失币可找回的机制,同时也可以满足虚拟币遗产继承的现实需求。
谢谢 楼主 POS在线挖矿需要使用私钥签名移动钱包的币,但是这种交易是把自己的币发送给自己,显然多重签名中心直接对这种类型的交易签名,是没有风险的,多重签名中心对于POS钱包的挖矿请求也没有必要进行短信认证,多重签名中心只需要对发送给他人地址的交易请求发出短信验证要求即可。
假设有个黑客,攻击了用户的钱包并获得私钥,这个时候,用户不用担心,因为,黑客仍然无法进行转账操作,因为还有一个私钥控制在多重签名验证服务器的手里,只要黑客发起转移币的请求,多重签名中心就会向钱包持有人发送短信验证码,除非黑客可以获取用户的短信验证码,钱包中的币才能够被转移。
如果黑客攻击了多重签名中心的服务器,并盗取了服务器的全部私钥,但是因为黑客不太可能获取大多数用户客户端的私钥,只有中心私钥签名而没有用户端私钥签名的交易请求是不会被全网确认的。不过目前如BitGO实现的网页版本的多重签名的全部私钥都保存在服务器上,黑客盗取全部私钥的几率并不低。要彻底保护钱包安全,多重签名的部分私钥必须只掌握在用户自己手中。
多重签名中心的私钥是采用用户的另外一个密码进行加密的,除了用户自己,他人很难解开用户在中心上的私钥(除非某用户密码太短才可能被暴力破解或猜中),如果中心发觉黑客在不断地尝试密码,可以提醒用户更换登陆账户或钱包地址,即使黑客和多重签名中心员工知道用户的登陆密码,中心还会向用户手机发送手机验证码来验证用户的再次确认,中心服务器这样的安全机制使得中心内部员工也无法使用服务器上客户的私钥。
用户和中心只要定期更换多重签名地址,就可以减少两个私钥同时被盗的可能性。
用户在申请完实名钱包后,一定要备份好自己的钱包私钥和中心的密码,否则无人能找回币了。据马币官方介绍,他们将开发一个遗失币可找回的机制,同时也可以满足虚拟币遗产继承的现实需求。
