大咖支招:数字资产安全的N条底线

来源: 发布时间:2019-08-01 13:49:33 阅读:

文|凯尔编辑|文刀


在区块链这个崇尚价值传递的世界,资产安全是永恒的话题。“门头沟”被盗惨案致使其一蹶不振,大型交易所被黑客“光顾”甚至成为影响市场的黑天鹅事件。


区块链安全团队PeckShield今年初曾披露,2018年区块链安全事件造成的经济损失高达22.38亿美元,较上年暴增253%,2019年第一个月发生的区块链安全事故数量已经超过2017年全年的区块链安全事故数量。


无论是交易所、钱包还是用户,给资产“上把安全锁”成为重点。


7月31日,BiKi、蜂巢财经、羊驼区块链联合主办“守望资产安全”硬核沙龙,BiKi CMO姜晓玉、慢雾科技安全负责人海贼王、Matrixport安全副总裁王欢、imtoken首席安全官Blue、MEET.ONE CEO Goh等嘉宾,共同就资产安全进行了深度探讨。

针对如何保障资产安全,大咖们在会上各自支招。


安全事故为何频发?


姜晓玉:交易所被攻击的事件很频繁,目前这个状况还没有很明确的改善。一个现状是,即使大家安全意识上来了,但还是没有黑客动不了的平台,只有他想不想动你,所以BiKi在安全投入上特别巨大。


整个区块链行业还处于初期,安全基础设施和人员经验都缺乏积累。另外数字货币的属性让黑客的作恶成本很低,回报很可观,所以即使之后行业在各方面提升,还是怕贼惦记,这是短期内没办法解决的问题,因为币确实很值钱。


BiKi CMO姜

晓玉

王欢:最近市场回暖,收益很可观,所以黑客蠢蠢欲动。另外屡次发生安全事件还有几个因素:第一,法律支撑不够,没办法形成威慑;第二,区块链产品是国际化的产品,全球都可以访问到,意味着全球的黑客都可以来攻击你,没有门槛;第三,安全和技术是实时变化的,今天安全了,明天不一定安全,因为还有新的漏洞出来,所以安全的问题必须要实时跟进,动态防护,持续投入。


Blue:区块链有金融属性,是离钱最近的行业,且比较新兴,在安全上容易出现漏洞。这给了黑客机会,考虑攻击成本较低,得手的可能性较大,受法律制裁的危险较小,很多黑客都会尝试去攻击。


Goh:很多用户资产丢失,绝大部分都是因为操作不当,所以用户保护私钥一定要深藏不露;在技术端,很多安全事件都是因为开发人员水平不够导致的,所以安全审计很重要。

MEET.ONE CEO Goh


如何妥善保管资产?


姜晓玉:交易所资产安全这一块,我们负责资产管理的同事有好多人,长期处于警备状态,跟间谍一样。他们睡觉之前最后一件事就是确认钱包的安全问题,白天醒来第一件事也是看一下钱包。


我们在内部安全上也有非常严格的控制,包括核心人员有哪些,有什么样的权限。此外,我们也和第三方安全机构一起更新行业的一些新的攻击手法,与时俱进,不断学习。并设立了安全的储备金,我们一旦被攻击,要做到百分之百的赔付能力。


在用户端,我们都会要求用户绑定谷歌验证器、短信、邮箱验证等,虽然麻烦,但是安全程度比较高。


王欢:我们的标准是按照传统金融的安全级别来建设。安全是系统化的工作,包括公司的办公环境,人员的安全意识,开发过程的安全,生产环境的安全部署和运维,在这个基础上才是产品的安全。



我们从人、财、事三个方面进行安全投入。人方面,我们有一支安全专业的专家队伍不停地分析产品的问题;财方面,我们需要购买大量的安全设备、安全工具以及跟专业的安全公司合作,这一块的预算非常充足;事方面,我们有非常严格的规章制度,以规则确定来应对风险的不确定,比如安全团队具有产品上线的一票否决权,如果发现产品的问题比较大,他可以否决产品上市。


回到产品,产品安全托管是面向机构客户或者大户、高净值人群的产品,所以采用了业界最高级别安全的设置机制以及管理机制,比如我们采用了最高级别的HSM加密机来保证我们的私钥不会触网。另外我们采用军用级别的金库来保障安全,还有白名单的机制、审核机制、双验证认证以及隐私保护机制都非常完善。


Blue:我们钱包更关心的是用户资产。第一点,Imtoken是去中心化的钱包,即便我们出现问题,也不会导致用户资产丢失,因为用户的密钥掌握在自己手里;第二,我们做了用户的风控系统,当发现存在攻击和诈骗时,会第一时间给用户做隔绝保护;第三,我们会识别很多假币,当假币出现在Imtoken里,我们第一时间提醒用户,阻断假币的转帐。此外,还有Imtoken也采用了最高等级的加密芯片,提供硬件钱包来加强安全。


Imtoken首席安全官Blue


王一丁:对于小白用户来说,需要注意识别中心化和去中心化钱包,一般情况下,去中心化钱包没有账户体系,且不能接触到私钥。


Goh:我觉得,用户不需要知道各种安全手段、加密方式,这是我们应该做的最低标准。对用户来说,我希望他们能够把私钥抄好,用最纯朴的方式就好,不要跟别人去交流,做到深藏不露。另外,我建议,一百万以内的资产放在信任度高、有保障能力的交易所里,一百万以上放钱包,私钥存保好。


海贼王:迄今为止,区块链世界共发生了15起公链攻击事件,智能合约有127起,交易所有50起,钱包也有一些,整体资产规模为44亿美元。


目前黑客攻击的对象主要分为公链、智能合约、交易所和钱包服务商。慢雾科技会针对不同的场景和产品开展攻防业务。


如果发生了资产被盗事件的个人或第三方,可以第一时间联系慢雾,如果资产找不回来,平台不会收费。


慢雾科技安全负责人海贼王

未来还有哪些保护资产安全的方式?


姜晓玉:我们目前比较重视的赛道是托管,合规上我不知道哪个阶段可以实现,但这是趋势。作为交易所,我们是愿意跟第三方托管合作的,现在的状态是一旦出问题我们是全责,如果能有保险,那对我们来说也更好。


王欢:长期来看,数字资产托管一定会出现专业级的公司,保存大量的数字资产。


就去中心化、中心化而言,中心化反而能够极大增强安全性。为什么?因为专门的公司可以投入大量安全措施,但去中心化的话有时候风险反而不好控制。所以对于企业客户、高净值客户而言,采用资产托管是很好的选择。


Matrixport安全副总裁王欢

如果说公司能够投入大量的安全研发,把控风险,可以积攒很多的托管的经验和能力,慢慢会赋能给散户。


Blue:传统互联网可以做的,到了区块链也可以做。区块链安全处于初期,都是服务型的感觉,而传统安全更偏向层级化。


虽然区块链像一般的服务器防护都是在采用传统的工具,但是区块链属性,比如公链、智能合约等新兴的垂直业务,传统安全是做不了的。那么,除了2B的服务以外,可以尝试场景化,比如针对假币充值等漏洞,就可以按照传统的方式来做。尽量把人工做的事情产品化,是安全公司或一个行业比较长远的事情。


在资产托管方面,目前只是一个尝试,安全风险非常大,不过这确实是一个方向,但是一般企业无法做,一些资产托管的友商其实都在采购硬件钱包来做,你托管了别人的资产,需要把安全做好。


Goh:我觉得安全不是普通用户需要关注的。现在交易所是做券商的事,钱包相当于银行。从来没有一个银行让用户来管理自己的资产,只提供一个工具。所有去中心化钱包,可以保证资产安全,但是服务一定是中心化的,未来钱包会提供一些中心化的金融服务,包括我们说的借贷等。


声明:链天下登载此文出于传递更多信息之目的,文章内容仅供参考,不构成投资建议,如投资者据此操作,风险自担。

发表评论

验证码: 匿名发表

友情链接

Cherry QKL123 中盾网 天天抖料 链向财经 SEA智能资产管理平台 ChainDesk 孔壹学院 全球区块链导航 链虎财经 比特币论坛 OKEX 比太网 起风财经 IT帮 火星财经 链世界 BCEX 嘻哈财经 口袋比特 币源社区 芬果财经 区块链导航 核财经 牛吧发 挖链 区块链之家 金塔 共享财经 比特币资讯网

关于我们

链天下

联系我们

媒体合作

意见反馈

投诉建议

RMG成员 链天下 BTC123

比特币之家 千氪财经

Bitcoin86

商务合作

官方微信