【Chainge之区块链安全】系列一:钱包服务商如何做好安全与开放?

区块链资讯巴比特2018-04-16 20:05:49  阅读 -评论 0  阅读原文

4月14日,巴比特在厦门举办了第七期【Chainge】技术沙龙,邀请到了火币CTO程显峰、比特派合伙人王超、慢雾安全团队海贼王、Keywolf、 imToken首席安全官Blue、币派CEO胡园泉,以“区块链技术的安全隐患”为话题,对区块链技术中存在的风险和安全隐患进行了深入讨论。

来自比特派的合伙人王超在演讲中分享了比特派对于安全和开放的思考。王超列举了比特币历史上的知名丢币事件以及背后原因,并给出了应对措施:私钥得足够随机、私钥得冷、私钥不能丢。另外,随着区块链的热潮到来,生态发生了变化。钱包开始从低频变得高频,且不再是存储用户资产那么简单,在此王超提到了钱包的“开放”概念,包括应用类的开放、技术的开放以及生态的开放。

【Chainge之区块链安全】系列一:钱包服务商如何做好安全与开放?

以下为嘉宾演讲内容,巴比特做了不改变原意的整理:

我叫王超,来自比特派团队,非常感谢巴比特的组织和邀请,有机会跟各位专家学习和交流。我想借这个机会分享一下我们团队对于安全和开放的一些思考。

比特派始于2014年,在过去的五年间,我们的钱包帮助数十万用户管理了接近100万的比特币资产,没有出过一起安全事故。同时我们的比太钱包是华人世界唯一被 Bitcoin.org 推荐的钱包。Bitcoin.org最早由中本聪注册,之后交给社区管理,虽然比特币是一个去中心化的网络,但这个网站具备准官方性质。能够被推荐实际上是非常难的,代码要经过特别严格的第三方审核。

比特派是我们团队研发的产品,经常有客户会问,比特派和比太有什么区别?其实区别还是挺大的。比太钱包是比特币单币种钱包。而比特派是一个多用户资产管理平台,已经接入了20多个不同的区块链网络,还包括所有的ERC20 token。简单易用,小白、大妈都能轻松上手。我们有一块硬件钱包——比特护盾,设计成手表模式,能够做到冷热结合,既安全又便捷。

区块链世界关于安全有说不完的话题。纵观整个区块链行业的发展史,基本上是一部“丢币史”。下面列举了一些比较著名的机构丢币事件,按现在的价格计算,基本上是几十亿甚至是上百亿的资产。一旦这样的事情发生,不要说一些区块链的机构,就是金融机构都未必能承受这样的损失。

【Chainge之区块链安全】系列一:钱包服务商如何做好安全与开放?

如果我们不保存在机构,自己保管比特币,是不是会安全?实际上也是未必的。

历史上曾经发生过多次因为随机数问题造成丢币。比如去年的以太坊Parity钱包,也出现过两次多重签名漏洞,大量的用户资产丢失。以及慢雾科技不久前披露的非常经典的以太坊账户漏洞问题,大家会发现原来这个世界里面黑客攻击手段是难以想象的。

丢币最多的都是因为个人原因,比如:

电脑/手机 丢失、损坏导致的丢币(无备份);

钓鱼邮件、木马病毒导致的被盗;

私钥/密语 存储在邮箱、云盘等网络空间所导致的丢币;

使用伪造的钱包app丢币(AppStore、QQ群、二手硬件钱包等);

骗子索取私钥/密语导致的丢币;

用不安全的方法领分叉币,结果把比特币给弄丢了。

甚至还有骗子冒充这钱包、交易所的客服去要用户的密码,造成丢币,我们见到很多这样用户,不一一列举了。

总结起来,在区块链的世界里面,满地都是坑,每一个坑都有可能会埋了大量的资产。怎么去避免踩坑呢?

这里边给出一些建议,第一,私钥得足够随机。我们知道私钥决定了区块链资产的所有权,丢了私钥也就相当于丢了一切。私钥实际上是一个随机数,但是这个随机数的概念空间比较大,是2的256次方。私钥一般是由钱包随机生成的。我们首先要强调钱包的这个随机数的生成过程一定要真随机,这个非常重要。

计算机生成的随机数一般称为伪随机,因为它是有一个确定的算法,配合一个种子(比如时间),来生成一些看起来随机的结果,但实际上任何人只要掌握算法,掌握这个种子,就有可能得到同样的结果,也就是说它是可预测的。

比如说比特币,宇宙里面有2的256次方个小抽屉,生成一把比特币私钥,就是随机选一个抽屉往里放钱。 因为这个数足够的大,地球上所有的人每隔一秒生成一个私钥也不会重复,所以这个机制其实是安全的。2014年底,比特币钱包blockchain.info在一次版本升级中出现了一个严重的随机数问题,就是因为R值重复导致了丢币。当时是被一个白帽黑客很快就发现,两个半小时之后问题被修复。但是就在这2.5小时期间就有一千多个地址的200多枚比特币丢失,所以随机数在区块链里面是一个“命根子”。

第二,私钥得冷。冷,实际上就是不联网。因为现在黑客无孔不入,不要说我们一些民用的系统和建设,就像美国军方安全防护非常严的系统,甚至也是说进就能进的。所以要想真正做到完全的安全,一定是冷的,并且是从始至终的冷。

第三,私钥不能丢。私钥丢失是导致资产损失最多的原因。私钥要抄在纸上,要抄对,然后放在一个绝对不会忘的地方。而且私钥和钱包不要放在一块。

刚才讲了这么多,实际上只是整个安全领域非常小的部分,总结起来就是,钱包是一个易做难精的东西。易做是因为这个东西有很多开源代码可以去参考,包括我们的比太钱包和比特护盾也都是开源的,实际上参考别人的代码稍微改动,想做钱包很简单。但是真要想把里面的这些门道摸清楚,保证用户安全,实际上非常难。我们认为只是把自己的事做好还不够,当用户把他要做事情做好,树立安全意识,其实更重要。

最后讲安全和生态方面的一些东西,“开放”。之前钱包是一个低频的场景,基本上大家的注意力在交易上。但是从去年的下半年开始,整个生态逐渐变化,很多落地东西开始出现增多,场景也将越来越多,大家用钱包的频率比以前有了爆炸性的增长,钱包变成一个高频场景,并且钱包里面的东西也越来越多,不只是一个收发币那么简单。

这个变化对钱包团队其实提出了一个特别大的挑战,就是你又想安全又想开放,这两个东西其实是矛盾的。如何能在保证安全的前提下尽可能开放,是一个非常难的事情。

在我们看来,开放实际上包含3个层面。

第一个层面,应用类的开放。比如大家在钱包里面可以直接玩以太猫了,可以去预测市场,变成一个生态入口。

第二个层面,技术的开放。我们做钱包这么多年,我们的技术的积累,对行业的理解,包括我们有些研发出的东西,都可以开放给大家。

第三个层面,生态的开放。对于优秀的合作伙伴,是不是能够分享自己的资源,大家一块把事情做大。

基于这样的思考,我们提出合作伙伴计划,提供包括技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助合伙伙伴实现区块链转型或区块链项目孵化,安全、便捷的实现真正落地的区块链应用场景

最后,我想以投资人张泉灵老师的一句话,作为结束。“历史的车轮滚滚而来,越转越快,快到你要不然就躲在一个没有轮子的世界里面,要不然挡着他的路了,你得断臂求生,再不然就跳上去,看看它滚向何方。”

谢谢大家。

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们100@7234.cn

    参与讨论 (0 人参与讨论)

    相关推荐

    中信银行打造“区块链”信用证结算!

    中信银行打造“区块链”信用证结算!

    科技不会改变金融的实质,但却能让金融服务更高效,能让资金供、需方信息不对称的问题更好地解决。近期,中信银行首个区块链项目——基于区块链的国内信用证信息传输系统(简称BCLC)(一期)成功上线,这是国内银行业第一次将区块链技术应用于信用证结算领域。 据中信银行国际业务部总经理助理张栩青介绍,将现在流行的区块链技术应用在国内信用证中,改变了银行传统信用证业务模式,信用证的开立、通知、交单、承兑报文

    中国信息技术部门成立区块链研究实验室

    中国信息技术部门成立区块链研究实验室

    暴走时评:本月初,中国政府对国内的ICO和数字货币交易所的打击在世界范围内引起了强大反响,但政府已经多次声明不会将区块链与数字货币划等号,依然非常重视区块链技术在中国的发展。鉴于中国工业和信息化部成立了一个专门研究区块链的实验室,这一论调也得到了进一步的证实。 虽然中国政府最近在大力打击比特币交易所和ICO,但仍然致力于开发区块链在其他领域的潜力。 据财新网报道,中国工业和信息化部已经成立了一

     分布式账本中的生命科学

    分布式账本中的生命科学

    生物科学是医学领域涉及遗传研究,疾病预防和生活方式治疗(lifestyle treatments)的学科。它已经存在了很长时间,但区块链技术的基础设施应用给该学科提供了重大进步的可能性。 根据Pistoia Alliance进行的2016年6月份高级制药和生命科学领袖调查,83%的受访者表示,他们预计在五年内将全面采用区块链技术。 Pistoia Alliance是一个全球性的非营利组织,致

    区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

    区块链vs.核能:日本最大电力公司东京电力(TEPCO)寻求使用区块链减轻对核电的依赖

    东京电力公司 (TEPCO) 对于能源过度中心化的风险可以说绝不陌生。 也许最著名的就是2011年发生的福岛核电站事故,这个日本最大的能源公司如今正在寻求区块链技术来防止这种灾难再次发生。 然而,从使用微型风车的分布式风力发电到用于存储在电力成本低时购买的电力的智能电池,可替代能源项目一直以来都属于个人慈善事业。 然而,TEPCO风险投资部门主管Jeffrey Char认为区块链能够帮助为这

    继证监会发表代币发行声明之后,香港交易所Gatecoin将下线部分ICO币

    继证监会发表代币发行声明之后,香港交易所Gatecoin将下线部分ICO币

    经过一系列监管以及合规审查后,香港交易所Gatecoin将会下线那些被金融监管部门定性为"证券"的代币。 香港加密货币交易所Gatecoin透露,如果在该平台交易的ICO代币在法律上符合"证券"定义,他们就会下线这些代币。据巴比特上月报道,香港主要的金融监管部门证券及期货事务监察委员会(SFC)表达了对ICO这种日渐普及的募资模式的担忧。 尽管ICO中售卖的数字代币通常都被定义为虚拟商品,但

    IBM与超级账本共同加入去中心化身份基金会(DIF),推动创建区块链ID行业标准

    IBM与超级账本共同加入去中心化身份基金会(DIF),推动创建区块链ID行业标准

    IBM与超级账本已经签署协议加入去中心化身份基金会(DIF),这个于今年初成立的联盟旨在帮助推动基于区块链的ID系统的互操作性和标准。 这两个企业区块链大佬加入了这个有各种企业组成的团体,其中包括像微软和埃森哲这样的大企业,还有像Civic和Gem这样的创业公司,以及像uPort和Sovrin这样的开源项目。 DIF执行主管告诉Coindesk说: "这应该是一个信号,表明在这一领域有广泛的

    为打击人口贩卖,牙买加警方盯上了犯罪分子的比特币钱包

    为打击人口贩卖,牙买加警方盯上了犯罪分子的比特币钱包

    作为打击人口贩卖计划的一部分,牙买加警方已经开始行动,锁定了那些试图用比特币和数字支付来掩人耳目的犯罪分子。 越来越多的人口贩卖者都开始转向数字货币来帮助他们进行地下活动并接收非法活动所得,但牙买加警方已经盯上他们了。 牙买加的'大生意' 不幸的是,人口贩卖以及性奴市场规模十分庞大,预计涉资1500亿美元。在牙买加,大约有7000个妇女、儿童以及成年男性被奴役,他们的操控者出售奴役服务的价格

    深圳市将发布《深圳市扶持金融业发展若干措施》,奖励区块链、数字货币等金融创新

    10月9日,深圳市人民政府向各区人民政府,市政府直属各单位印发《深圳市扶持金融业发展若干措施》(以下简称"《若干措施》")。深圳市政府表示,此举是为进一步完善金融支持政策体系,吸引集聚优质金融资源,推动全市金融业可持续均衡发展,加快建设国际化金融创新中心。 《若干措施》共分五大项,33条。内容包括:坚持服务导向,优化金融政策环境;发展金融总部经济,鼓励金融总部企业做大做强;支持金融企业分支机构

    麦妖榜
    更新日期 2018-04-25
    排名用户贡献值
    1lizhen0029791
    2六叶树9359
    3Leo8765
    4冷风大q8686
    5天下无双8268
    6Butterfly7722
    7momo7527
    8让时间淡忘6652
    9等待的宿命6035
    10唐老鸭4980
    返回顶部 ↑