Coinbase宣布用户可将私钥导入iCloud，但这安全吗？

碳链价值原创组作品

译者：王泽龙

编辑：碳14

Coinbase钱包有别于Coinbase交易所，前者是用户自己存储私钥以保护其加密资产。起初Coinbase开发了Toshi，后者是一个2017年4月发布的、开源、聚焦移动端的dapp浏览器及以太坊钱包。

2018年4月，Coinbase将Toshi同其收购的Cipher Broswer合并，后者同Toshi有着相近的业务。同年4月，Toshi以Coinbase Wallet的新品牌呈现于众人面前。

目前来看，Coinbase Wallet支持ETH、ERC-20代币管理，空投，收藏加密货币的交易与存储，并可接入DApps与去中心化交易所。2018年11月，Coinbase Wallet加入了对ETC的支持，而后，其将支持更多的主流加密货币。

在该消息随后的声明中，Coinbase解释道用户将私钥存储在移动设备上，一旦后者丢失，那可能会面临丢失所有资产的情况。出于安全保障的考虑，Coinbase允许用户将其私钥导入Google Drive 和 iCloud。为了打消用户疑虑，Coinbase进一步解释道，无论是自己还是云服务商，都无法访问用户的相关信息，且相关信息由AES-256-GCM算法加密，只能通过Coinbase的钱包访问。而Coinbase仍在尝试扩展更多云服务商同其合作。

有趣的是，Coinbase这一消息的宣布就在加拿大QuardingCX丢币事件发生不久后，个中意味，值得体会。

该举动引发了来自加密货币社区与网络安全专家的一系列讨论，一部分人对Coinbase将私钥存储在中心化服务机构手中这一举动深表怀疑。另一部分人则对新功能充满信心，认为其使加密成为了必需品。

而对其安全性，各方也认识不同。有专家认为相信用户能存储复杂的密码并非明智之举。他进一步说，如果黑客知道用户开始将私钥存储在云服务商手中，那势必会诱发更多针对后者的网络攻击。当然，也有专家认为新功能是足够安全的方案。还有专家认为新功能想法不错，但重在执行与落实。

业内人士认为将私钥储存在云端并不安全，建议撤销公告

加密安全公司CEOPaul Walsh在Bitcoin Magazine上发表文章称：“将数字资产的私钥存储在云端其实并不安全，主要原因有两个。首先，云端供应商是中心化运作的，会遭遇安全漏洞，从而导致网络罪犯可以访问个人隐私数据。其次，用户可能会落入网络钓鱼骗局的圈套。网络钓鱼是一种社会工程的手段，网络犯罪分子利用这种技术诱骗人们将个人身份证件交给一个仿冒的网站，而这个网站的设计看起来和一个合法的网站非常相似。我个人不建议在云端中存储任何像私钥那样的东西，即使它们是加密的。”

他强烈建议Coinbase撤销公告，“对于Coinbase这样的知名公司来说，向客户提出这样的建议是不可取的。他们决定将便利置于安全之上，这让我非常吃惊。考虑到人们的自身理解各有不同，现在很有可能一些客户会曲解Coinbase给他们的建议，坚信将私钥储存在iCloud上是安全的，并将这种观点转播出去，产生的连锁反应将会使私钥泄露的风险大大提高。”