
انواع کیف پول کریپتو توضیح داده شده: یک روند امضا، نه جایی که سکهها قرار دارند
انواع کیف پول کریپتو توضیح داده شده به یک سوال برمیگردد: کلید خصوصی کجا قرار دارد زمانی که یک تراکنش امضا میشود. هر برچسب دیگری (موبایل، افزونه مرورگر، دسکتاپ، سختافزار، ذخیرهسازی سرد) یک انتخاب UI است که بر روی آن جریان امضا و سطح حمله آن قرار دارد.
نکات کلیدی
- یک کیف پول کریپتو یک زنجیره ابزار برای کنترل یک حساب از طریق امضا است، نه یک ظرف که "سکهها را ذخیره میکند."
- اولین تقسیم مهم این است که کیف پولهای داغ (متصل به اینترنت) در مقابل سختافزار و ذخیرهسازی سرد (نگهداری کلید آفلاین).
- در اتریوم، تغییر برنامههای کیف پول وجوه را جابجا نمیکند زیرا کیف پول فقط یک پنجره به همان حساب کنترل شده توسط همان کلیدها است.
- در بیتکوین، ویژگیهای کیف پول مانند چند امضایی، فرمتهای آدرس (bc1 در مقابل قدیمی) و ابزارهای هزینه (RBF/CPFP) میتوانند نتایج تراکنش را زمانی که شبکه شلوغ است تغییر دهند.
چگونه کیف پولهای کریپتو به کلیدها مربوط میشوند
یک جلسه کیف پول یک توالی کوتاه است: کیف پول موجودیها و تاریخچه یک حساب را میخواند، یک تراکنش یا پیام میسازد و سپس با کلید خصوصی یک امضا تولید میکند. آن امضا چیزی است که شبکه به عنوان مدرکی که صاحب حساب اقدام را مجاز کرده است، میپذیرد.
مستندات اتریوم کیف پولها را به عنوان برنامههایی که به کاربران اجازه میدهند به برنامهها وارد شوند، موجودیها را بخوانند، تراکنشها را ارسال کنند و هویت را تأیید کنند، توصیف میکند که توصیف روشنی از آنچه در روز به روز روی صفحه نمایش داده میشود است.
مکانیسمها تنها زمانی منطقی میشوند که "حساب" از "کیف پول" جدا شود. در اتریوم، یک حساب یک جفت کلید عمومی و خصوصی است. کلید عمومی برای استخراج یک آدرس که میتواند به اشتراک گذاشته شود، استفاده میشود، در حالی که کلید خصوصی باید مخفی بماند زیرا امضا میکند. کیف پول رابطی است که از آن کلیدها استفاده میکند. به همین دلیل اتریوم همچنین تأکید میکند که ارائهدهندگان کیف پول نگهداری وجوه را ندارند. آنها یک پنجره و ابزارها را فراهم میکنند و کاربران میتوانند بدون جابجایی داراییها، ارائهدهندگان کیف پول را عوض کنند.
این اولین جایی است که بیشتر راهنماهای انواع کیف پول مردم را آسیبپذیر میکند. اگر کیف پول فقط پنجره باشد، پس نگهداری واقعی مواد بازیابی پشت آن است. اتریوم هشدار میدهد که هیچ پشتیبانی مشتری وجود ندارد و کیف پولها اغلب یک عبارت دانه را ارائه میدهند که باید نوشته شود و ایمن نگهداری شود زیرا تنها روش بازیابی است.
دستگاه را گم کنید و عبارت دانه را گم کنید، و "نوع" کیف پول دیگر اهمیتی ندارد.برای امنیت کیف پولها، مدل ذهنی مفید این است که "کدام برنامه بهترین به نظر میرسد" نیست. بلکه: کلید خصوصی کجا تولید میشود، کجا میتوان به آن دسترسی داشت و چه رویدادهایی باعث میشود که امضا کند. این چارچوب باعث میشود که بقیه توضیحات انواع کیف پول کمتر شبیه به اصطلاحات فنی و بیشتر شبیه به معماری ریسک باشد.کیف پولهای داغ در مقابل ذخیرهسازی آفلاین
تقسیم نگهداری کلید در روز اول دوتایی است: آیا کلید خصوصی هرگز به یک محیط متصل به اینترنت میرسد؟ کاسپرسکی دستهبندیهای کیف پول را به کیف پولهای داغ که همیشه آنلاین هستند، در مقابل کیف پولهای سرد یا سخت که آفلاین هستند، تقسیم میکند. سمت آنلاین راحت و سریع است و همچنین بیشتر در معرض هک و فیشینگ است زیرا محیط امضا متصل است.
کیف پولهای داغ معمولاً نرمافزار هستند. آنها میتوانند به عنوان یک برنامه موبایل، یک کیف پول مرورگر، یک افزونه مرورگر یا یک برنامه دسکتاپ زندگی کنند. تفاوتهای UI برای جریان کار مهم است، اما وضعیت امنیتی به این واقعیت بستگی دارد که دستگاه آنلاین است و به طور مرتب از آن خواسته میشود که امضا کند. به همین دلیل "دسکتاپ از مرورگر ایمنتر است" یک میانبر ضعیف است. بیتکوین.اورگ هشدار میدهد که کیف پولهای دسکتاپ میتوانند در یک محیط آسیبپذیر اجرا شوند زیرا کامپیوترها در معرض بدافزار هستند. محیط، نه فرم فاکتور، ریسک است.
کیف پولهای سختافزاری کلید خصوصی را به یک دستگاه فیزیکی منتقل میکنند. کاسپرسکی کیف پولهای سختافزاری را به عنوان دستگاههای شبیه USB توصیف میکند که کلیدهای خصوصی را ذخیره میکنند و میتوانند تراکنشها را تأیید کنند، از جمله تعاملات قراردادهای هوشمند در بلاکچینها. آن جمله آخر نکته مهمی برای هر کسی است که فقط شنیده است "سختافزار برابر با آفلاین است."
یک کیف پول سختافزاری هنوز هم میتواند برای تأیید یک تماس بد قرارداد هوشمند استفاده شود اگر کاربر آنچه را که در مقابل آنها قرار دارد امضا کند.
ذخیرهسازی سرد یک حالت عملیاتی سختگیرانهتر از "استفاده از یک کیف پول سختافزاری" است. کاسپرسکی کیف پولهای ذخیرهسازی سرد را به عنوان نوع خاصی از کیف پول سختافزاری که کاملاً از اینترنت جدا است و با Web3 تعامل ندارد یا قراردادهای هوشمند را اجرا نمیکند، متمایز میکند.
آنها میتوانند به صورت همزمان با یک کیف پول فعال برای اجرای تراکنشها کار کنند، که یک تنظیم دو کیف پول تمیز است که بسیاری از کاربران به آن میرسند: یک کیف پول داغ فعال برای امضای مکرر و یک تنظیم سرد برای ذخایر.
طبقهبندی داخلی در اینجا مهم است زیرا خوانندگان دستههای مجاور مانند توضیحات کیف پولهای سختافزاری، به علاوه مدلهای جدید مدیریت کلید مانند توضیحات کیف پولهای mpc و توضیحات کیف پولهای چند امضایی را خواهند دید. اینها فقط برچسبهای بازاریابی نیستند. آنها تغییر میدهند که چه کسی میتواند امضا کند، چند تأیید نیاز است و "بازیابی" حتی چه معنایی دارد.
رابطهای رایج کیف پول که خواهید دید
صفحه کیف پول اتریوم رابطهایی را فهرست میکند که بیشتر کاربران با آن مواجه میشوند: کیف پولهای سختافزاری فیزیکی، برنامههای موبایل، کیف پولهای مرورگر، کیف پولهای افزونه مرورگر و برنامههای دسکتاپ. اینها کانالهای توزیع و انتخابهای UX هستند. سوال امنیتی هنوز هم این است که کلید کجا قرار دارد و کیف پول مجاز به امضا چه چیزی است، اما رابط تعیین میکند که یک کاربر چقدر اغلب وسوسه میشود که امضا کند.
کیف پولهای افزونه مرورگر به عنوان پیشفرض در اتریوم هستند زیرا به عنوان ورود به dapps عمل میکنند. آن راحتی همچنین در معرض خطر است. یک کیف پول که به طور مداوم به برنامهها متصل است، به طور مداوم از آن خواسته میشود که تأیید کند و کاربر یک کلیک با امضای چیزی که نمیخواست امضا کند فاصله دارد. کیف پولهای موبایل همان رفتار را در یک صفحه کوچکتر و یک سطح فیشینگ متفاوت فشرده میکنند. کیف پولهای دسکتاپ میتوانند قدرتمند باشند و هشدار محیطی بیتکوین.اورگ یادآوری میکند که "قدرتمند" اغلب به معنای "راههای بیشتری برای بدافزار برای نفوذ" است.
کیف پولهای سختافزاری در این رابطها به عنوان یک ماژول امضا نشستهاند. بسیاری از تنظیمات از یک کیف پول دسکتاپ یا افزونه به عنوان سازنده تراکنش و یک دستگاه سختافزاری به عنوان امضا کننده استفاده میکنند. بیتکوین.اورگ اشاره میکند که اسپارو میتواند با کیف پولهای سختافزاری محبوب تعامل داشته باشد، که الگوی آن است: نرمافزار برای دید و ساخت، سختافزار برای نگهداری کلید.
لایه رابط مدرن همچنین شامل کیف پولهای قرارداد هوشمند و انتزاع حساب است. یک کیف پول قرارداد هوشمند مدل حساب را از "یک کلید خصوصی همه چیز را کنترل میکند" به "یک قرارداد قوانین را درباره اینکه چه چیزی به عنوان مجوز محسوب میشود، تحمیل میکند" تغییر میدهد. انتزاع حساب جهتگیری وسیعتری است که این قوانین را بومی میکند، مانند پرداخت هزینهها به روشهای مختلف یا استفاده از احراز هویت جایگزین.
اینجاست که کیف پولهای بدون دانه و بازیابی اجتماعی ظاهر میشوند. آنها هدف دارند که حالت شکست یک عبارت دانه واحد را با یک فرآیند بازیابی جایگزین کنند، اما هزینه آن به سیاست و اعتماد در طراحی بازیابی تبدیل میشود.
توضیحات انواع کیف پول زمانی واضحتر است که رابط به عنوان آخرین مرحله در نظر گرفته شود، نه اولین. ترتیبی که معتبر است این است: مدل نگهداری کلید، سپس سطح امضا، سپس ویژگیهای راحتی.
ویژگیهای کیف پول بیتکوین که رفتار را تغییر میدهند
کیف پولهای بیتکوین مجموعهای متفاوت از انتخابها را تحمیل میکنند زیرا ساخت تراکنش و مدیریت هزینه بخشی از نتیجه کاربر است، نه فقط یک جزئیات پسزمینه. فهرست اسپارو در بیتکوین.اورگ یک مثال عینی خوب است زیرا دکمههایی که مهم هستند را نام میبرد: اسپارو از انواع اسکریپتهای تک و چند امضایی پشتیبانی میکند، به یک سرور الکتروم یا هسته بیتکوین متصل میشود، با کیف پولهای سختافزاری محبوب تعامل دارد و کنترل کامل سکه و هزینه را فراهم میکند.
چند امضایی یک کلمه کلیدی در بیتکوین نیست. بیتکوین.اورگ چند امضایی را به عنوان نیاز به بیش از یک کلید برای مجاز کردن یک تراکنش تعریف میکند، که میتواند مسئولیت و کنترل را در میان چندین طرف تقسیم کند. این رفتار را تغییر میدهد زیرا حالت شکست یک دانه واحد در یک دستگاه را حذف میکند. همچنین اصطکاک عملیاتی را تغییر میدهد. یک تنظیم چند امضایی تنها به اندازه کارایی جریان امضای خود قابل استفاده است زمانی که زمان مهم است.
فرمتهای آدرس نوع دیگری است که به عنوان یک محدودیت عملی ظاهر میشود. بیتکوین.اورگ اشاره میکند که اسپارو از آدرسهای SegWit و Bech32 (bc1) و همچنین آدرسهای قدیمی که با 1 یا 3 شروع میشوند، پشتیبانی میکند. این مهم است زیرا برخی خدمات هنوز از هر فرمت پشتیبانی نمیکنند و زیرا SegWit از فضای بلاک به طور مؤثرتری استفاده میکند که به هزینهها مرتبط است.
ابزارهای هزینه جایی هستند که انتخاب کیف پول دیگر آکادمیک نمیشود. بیتکوین.اورگ اشاره میکند که اسپارو از تغییر هزینهها پس از ارسال وجوه با استفاده از RBF یا CPFP پشتیبانی میکند و پیشنهادات هزینه را بر اساس شرایط فعلی شبکه ارائه میدهد. زمانی که هزینهها افزایش مییابند و یک تراکنش گیر میکند، یک کیف پول بدون RBF یا CPFP یک ارسال روتین را به یک بازی انتظار تبدیل میکند.
این همچنین جایی است که "کیف پولهای مختلف کریپتو" دیگر به معنای "برنامههای مختلف" نیست و شروع به معنای "نتایج تراکنشهای مختلف" میکند. یک کیف پول که میتواند به هسته بیتکوین متصل شود در مقابل یک سرور تصادفی یک تصمیم اعتبارسنجی و اعتماد است. بیتکوین.اورگ به وضوح اسپارو را به عنوان متصل به یک سرور تصادفی از یک لیست فریم میکند، که به معنای اعتماد به شخص ثالث در مقایسه با اجرای یک نود کامل است.
عادتهای امنیتی که بیشتر اهمیت دارند
عادت اول امنیتی پذیرش مدل مسئولیت است. مستندات اتریوم به وضوح بیان میکند که در دنیای ارزهای دیجیتال هیچ پشتیبانی مشتری وجود ندارد و کاربران مسئول نگهداری از کلیدها هستند. این یک شعار نیست. این یک بیانیه درباره حالتهای شکست است: اگر عبارت بازیابی گم شود، بازیابی نیز از بین میرود.
مدیریت عبارت بازیابی مرکز این موضوع است. اتریوم هشدار میدهد که عبارت بازیابی تنها راه بازیابی کیف پول است و نباید بر روی یک کامپیوتر ذخیره شود. این دستورالعمل واحد از بسیاری از مباحث درباره موبایل در مقابل دسکتاپ مهمتر است. همچنین انتخاب کیف پول را به عنوان یک برنامه بازیابی دوباره تعریف میکند. اگر فردا گم کردن یک تلفن یا لپتاپ باعث از دست رفتن وجوه شود، این تنظیمات ناقص است.
ریسک دستگاه عادت دوم است. Bitcoin.org هشدار میدهد که کیف پولهای دسکتاپ میتوانند در یک محیط آسیبپذیر اجرا شوند و پیشنهاداتی مانند ایمنسازی کامپیوتر، استفاده از یک عبارت عبور قوی، انتقال بیشتر وجوه به ذخیره سرد، یا فعالسازی احراز هویت دو مرحلهای را ارائه میدهد. نکته این نیست که دسکتاپ بد است. نکته این است که ریسک بدافزار ویژگیای از محیط است.
معماری دو کیف پول به عنوان پیشفرض تمیز برای امنیت کیف پولها است. یک کیف پول داغ با موجودی کم برای امضاهای روزانه و اتصالات dapp نگه دارید و ذخایر را در ذخیره سختافزاری یا سرد نگه دارید. چارچوب Kaspersky از این که چرا این کار میکند پشتیبانی میکند: کیف پولهای داغ آنلاین هستند و بیشتر در معرض خطر، در حالی که ذخیره سرد به طور کامل قطع شده و میتواند در کنار یک کیف پول فعال زمانی که تراکنشها نیاز است استفاده شود.
در نهایت، ویژگیهای کنترل پیشرفته باید به عنوان ابزارهای تغییر دهنده رفتار در نظر گرفته شوند، نه گزینههای فنی. multisig میتواند یک نقطه شکست واحد را حذف کند. MPC و multisig طراحیهای متفاوتی هستند، اما هر دو هدفشان تغییر این است که چه کسی میتواند مجوز دهد. به همین دلیل کیف پولهای mpc و کیف پولهای multisig باید در همان درخت تصمیمگیری به عنوان داغ در مقابل سرد قرار بگیرند، نه در یک سبد جداگانه "پیشرفته".
مفاهیم غلط رایج که انتخاب کیف پول را مختل میکنند
"کیف پولها سکهها را ذخیره میکنند" یک مفهوم غلط است که بیشترین سردرگمی را ایجاد میکند. صفحه کیف پول اتریوم کیف پولها را به عنوان برنامههایی توصیف میکند که به کاربران اجازه میدهند امضا کنند، موجودیها را بخوانند، تراکنشها را ارسال کنند و هویت را تأیید کنند. داراییها به صورت زنجیرهای ثبت میشوند. کیف پول ابزار امضا و مشاهده است.
"کیف پول سختافزاری معادل ذخیره سرد است" دومین سوءتفاهم پرهزینه است. Kaspersky کیف پولهای سختافزاری را به عنوان دستگاههایی توصیف میکند که میتوانند تراکنشها را تأیید کنند، از جمله تعاملات قراردادهای هوشمند. Kaspersky همچنین ذخیره سرد را به عنوان کاملاً قطع شده و بدون تعامل با Web3 یا اجرای قراردادهای هوشمند تمایز میدهد. اینها حالتهای عملیاتی متفاوتی هستند و مخلوط کردن آنها باعث میشود افراد از کیف پول سختافزاری به عنوان یک خزانه استفاده کنند در حالی که هنوز تأییدهای dapp را به طور مکرر امضا میکنند.
"کیف پولهای دسکتاپ به طور خودکار از کیف پولهای مرورگر یا موبایل ایمنتر هستند" یک تله سوم است. Bitcoin.org به وضوح هشدار میدهد که کیف پولهای دسکتاپ میتوانند در یک محیط آسیبپذیر اجرا شوند زیرا کامپیوترها در معرض بدافزار قرار دارند. یک کیف پول دسکتاپ میتواند عالی باشد، اما این یک ارتقاء امنیتی رایگان نیست.
"تغییر برنامههای کیف پول وجوه را جابجا میکند" یک سوءتفاهم رایج در اتریوم است. مستندات اتریوم میگوید که ارائهدهندگان کیف پول نگهداری ندارند و کاربران میتوانند ارائهدهندگان را تعویض کنند. اگر همان عبارت بازیابی یا کلید خصوصی وارد شود، حساب همان است. کیف پول فقط یک پنجره متفاوت است.
"بازیابی اختیاری است اگر کیف پول UX خوبی داشته باشد" آخرین مفهوم غلط است. هشدار اتریوم که عبارت بازیابی تنها روش بازیابی است، کل بازی است. کیف پولهای بدون عبارت و بازیابی اجتماعی سعی دارند این تجربه کاربری را تغییر دهند، اما کاربر هنوز باید بفهمد مکانیزم بازیابی چیست و چه کسی میتواند آن را فعال کند.
جمعبندی
من دیدهام که مردم "نوع کیف پول" را مانند یک دسته خرید در نظر میگیرند و سپس توسط بخش خستهکننده آن: امضا و بازیابی، دچار مشکل میشوند. تمیزترین مدل ذهنی این است که کیف پول شما جریان کاری امضای شماست. اگر کلید خصوصی توسط یک دستگاه متصل به اینترنت قابل دسترسی باشد، فرض کنید که هدف قرار خواهد گرفت و موجودی را بر این اساس تنظیم کنید.
من همچنین سردرگمی کیف پول سختافزاری را از نزدیک دیدهام. کسی یک دستگاه میخرد، آن را "ذخیره سرد" مینامد، سپس یک هفته را صرف کلیک کردن بر روی تأییدهای dapp در یک کیف پول افزونهای میکند که امضاها را به دستگاه ارسال میکند. این ذخیره سرد نیست. ذخیره سرد حالتی است که Kaspersky توصیف میکند: کاملاً قطع شده، بدون انجام Web3. حرکت صرفهجویی در پول این است که نوع کیف پول را با آنچه از آن خواسته میشود امضا کند، مطابقت دهید و سپس برنامه بازیابی را بر اساس آن واقعیت بسازید.
منابع
ethereum.org
Kaspersky
پرسشهای متداول
کیف پول کریپتو چیست و در واقع چه چیزی را ذخیره میکند؟
کیف پول کریپتو یک اپلیکیشن یا دستگاه است که کلیدهای مورد استفاده برای کنترل یک حساب زنجیرهای و امضای تراکنشها را مدیریت میکند. این کیف پولها سکهها را مانند یک کیف پول فیزیکی ذخیره نمیکنند. داراییهای شما در بلاکچین ثبت میشوند و کیف پول ابزاری است که با یک امضا، مجوز را اثبات میکند.
تفاوت بین کیف پول داغ و کیف پول سرد چیست؟
کیف پولهای داغ همیشه به اینترنت متصل هستند که این امر آنها را راحت میکند اما در عین حال بیشتر در معرض هک و فیشینگ قرار دارند. ذخیرهسازی سرد کاملاً از اینترنت جدا است و برای نگهداری کلیدها به صورت آفلاین طراحی شده است. کسپرسکی همچنین اشاره میکند که ذخیرهسازی سرد میتواند به همراه یک کیف پول فعال استفاده شود زمانی که تراکنشها نیاز باشد.
آیا کیف پول سختافزاری همان ذخیرهسازی سرد است؟
ضروری نیست. کسپرسکی کیف پولهای سختافزاری را به عنوان دستگاههایی توصیف میکند که کلیدهای خصوصی را ذخیره میکنند و میتوانند تراکنشها را تأیید کنند، از جمله تعاملات قراردادهای هوشمند. ذخیرهسازی سرد یک حالت سختگیرانهتر است که کاملاً جدا شده و با Web3 تعامل ندارد یا قراردادهای هوشمند را اجرا نمیکند.
اگر اپلیکیشنهای کیف پول را تغییر دهم، آیا موجودیهای اتریوم من منتقل میشوند؟
خیر. مستندات اتریوم توضیح میدهد که ارائهدهندگان کیف پول، نگهداری از موجودیهای شما را ندارند و شما میتوانید ارائهدهندگان کیف پول را عوض کنید. اگر از همان عبارت seed یا کلید خصوصی استفاده کنید، شما همان حساب و همان داراییهای زنجیرهای را از طریق یک رابط متفاوت کنترل میکنید.
چرا ویژگیهای کیف پول بیتکوین مانند multisig و RBF اهمیت دارند؟
Bitcoin.org multisig را به عنوان نیاز به بیش از یک کلید برای مجوز دادن به یک تراکنش تعریف میکند که میتواند کنترل را در بین دستگاهها یا افراد پخش کند. Bitcoin.org همچنین اشاره میکند که Sparrow از ابزارهای کارمزد مانند RBF و CPFP پشتیبانی میکند که به کاربران اجازه میدهد پس از ارسال، کارمزدها را تنظیم کنند تا احتمال گیر کردن یک تراکنش در زمان تغییر شرایط شبکه کمتر شود.