2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
來(lái)自比特派的合伙人王超在演講中分享了比特派對(duì)于安全和開(kāi)放的思考。王超列舉了比特幣歷史上的知名丟幣事件以及背后原因,并給出了應(yīng)對(duì)措施:私鑰得足夠隨機(jī)、私鑰得冷、私鑰不能丟。4月14日,巴比特在廈門(mén)舉辦了第七期【Chainge】技術(shù)沙龍,邀請(qǐng)到了火幣CTO程顯峰、比特派合伙人王超、慢霧安全團(tuán)隊(duì)海賊王、Keywolf、imToken首席安全官Blue、幣派CEO胡園泉,以“區(qū)塊鏈技術(shù)的安全隱患”為話(huà)題,對(duì)區(qū)塊鏈技術(shù)中存在的風(fēng)險(xiǎn)和安全隱患進(jìn)行了深入討論。
來(lái)自比特派的合伙人王超在演講中分享了比特派對(duì)于安全和開(kāi)放的思考。王超列舉了比特幣歷史上的知名丟幣事件以及背后原因,并給出了應(yīng)對(duì)措施:私鑰得足夠隨機(jī)、私鑰得冷、私鑰不能丟。另外,隨著區(qū)塊鏈的熱潮到來(lái),生態(tài)發(fā)生了變化。錢(qián)包開(kāi)始從低頻變得高頻,且不再是存儲(chǔ)用戶(hù)資產(chǎn)那么簡(jiǎn)單,在此王超提到了錢(qián)包的“開(kāi)放”概念,包括應(yīng)用類(lèi)的開(kāi)放、技術(shù)的開(kāi)放以及生態(tài)的開(kāi)放。
以下為嘉賓演講內(nèi)容,巴比特做了不改變?cè)獾恼恚?/p>
我叫王超,來(lái)自比特派團(tuán)隊(duì),非常感謝巴比特的組織和邀請(qǐng),有機(jī)會(huì)跟各位專(zhuān)家學(xué)習(xí)和交流。我想借這個(gè)機(jī)會(huì)分享一下我們團(tuán)隊(duì)對(duì)于安全和開(kāi)放的一些思考。
比特派始于2014年,在過(guò)去的五年間,我們的錢(qián)包幫助數(shù)十萬(wàn)用戶(hù)管理了接近100萬(wàn)的比特幣資產(chǎn),沒(méi)有出過(guò)一起安全事故。同時(shí)我們的比太錢(qián)包是華人世界唯一被Bitcoin.org推薦的錢(qián)包。Bitcoin.org最早由中本聰注冊(cè),之后交給社區(qū)管理,雖然比特幣是一個(gè)去中心化的網(wǎng)絡(luò),但這個(gè)網(wǎng)站具備準(zhǔn)官方性質(zhì)。能夠被推薦實(shí)際上是非常難的,代碼要經(jīng)過(guò)特別嚴(yán)格的第三方審核。
比特派是我們團(tuán)隊(duì)研發(fā)的產(chǎn)品,經(jīng)常有客戶(hù)會(huì)問(wèn),比特派和比太有什么區(qū)別?其實(shí)區(qū)別還是挺大的。比太錢(qián)包是比特幣單幣種錢(qián)包。而比特派是一個(gè)多用戶(hù)資產(chǎn)管理平臺(tái),已經(jīng)接入了20多個(gè)不同的區(qū)塊鏈網(wǎng)絡(luò),還包括所有的ERC20 token。簡(jiǎn)單易用,小白、大媽都能輕松上手。我們有一塊硬件錢(qián)包——比特護(hù)盾,設(shè)計(jì)成手表模式,能夠做到冷熱結(jié)合,既安全又便捷。
區(qū)塊鏈?zhǔn)澜珀P(guān)于安全有說(shuō)不完的話(huà)題??v觀整個(gè)區(qū)塊鏈行業(yè)的發(fā)展史,基本上是一部“丟幣史”。下面列舉了一些比較著名的機(jī)構(gòu)丟幣事件,按現(xiàn)在的價(jià)格計(jì)算,基本上是幾十億甚至是上百億的資產(chǎn)。一旦這樣的事情發(fā)生,不要說(shuō)一些區(qū)塊鏈的機(jī)構(gòu),就是金融機(jī)構(gòu)都未必能承受這樣的損失。
如果我們不保存在機(jī)構(gòu),自己保管比特幣,是不是會(huì)安全?實(shí)際上也是未必的。
歷史上曾經(jīng)發(fā)生過(guò)多次因?yàn)殡S機(jī)數(shù)問(wèn)題造成丟幣。比如去年的以太坊Parity錢(qián)包,也出現(xiàn)過(guò)兩次多重簽名漏洞,大量的用戶(hù)資產(chǎn)丟失。以及慢霧科技不久前披露的非常經(jīng)典的以太坊賬戶(hù)漏洞問(wèn)題,大家會(huì)發(fā)現(xiàn)原來(lái)這個(gè)世界里面黑客攻擊手段是難以想象的。
丟幣最多的都是因?yàn)閭€(gè)人原因,比如:
電腦/手機(jī)丟失、損壞導(dǎo)致的丟幣(無(wú)備份);
釣魚(yú)郵件、木馬病毒導(dǎo)致的被盜;
私鑰/密語(yǔ)存儲(chǔ)在郵箱、云盤(pán)等網(wǎng)絡(luò)空間所導(dǎo)致的丟幣;
使用偽造的錢(qián)包app丟幣(AppStore、QQ群、二手硬件錢(qián)包等);
騙子索取私鑰/密語(yǔ)導(dǎo)致的丟幣;
用不安全的方法領(lǐng)分叉幣,結(jié)果把比特幣給弄丟了。
甚至還有騙子冒充這錢(qián)包、交易所的客服去要用戶(hù)的密碼,造成丟幣,我們見(jiàn)到很多這樣用戶(hù),不一一列舉了。
總結(jié)起來(lái),在區(qū)塊鏈的世界里面,滿(mǎn)地都是坑,每一個(gè)坑都有可能會(huì)埋了大量的資產(chǎn)。怎么去避免踩坑呢?
這里邊給出一些建議,第一,私鑰得足夠隨機(jī)。我們知道私鑰決定了區(qū)塊鏈資產(chǎn)的所有權(quán),丟了私鑰也就相當(dāng)于丟了一切。私鑰實(shí)際上是一個(gè)隨機(jī)數(shù),但是這個(gè)隨機(jī)數(shù)的概念空間比較大,是2的256次方。私鑰一般是由錢(qián)包隨機(jī)生成的。我們首先要強(qiáng)調(diào)錢(qián)包的這個(gè)隨機(jī)數(shù)的生成過(guò)程一定要真隨機(jī),這個(gè)非常重要。
計(jì)算機(jī)生成的隨機(jī)數(shù)一般稱(chēng)為偽隨機(jī),因?yàn)樗怯幸粋€(gè)確定的算法,配合一個(gè)種子(比如時(shí)間),來(lái)生成一些看起來(lái)隨機(jī)的結(jié)果,但實(shí)際上任何人只要掌握算法,掌握這個(gè)種子,就有可能得到同樣的結(jié)果,也就是說(shuō)它是可預(yù)測(cè)的。
比如說(shuō)比特幣,宇宙里面有2的256次方個(gè)小抽屜,生成一把比特幣私鑰,就是隨機(jī)選一個(gè)抽屜往里放錢(qián)。因?yàn)檫@個(gè)數(shù)足夠的大,地球上所有的人每隔一秒生成一個(gè)私鑰也不會(huì)重復(fù),所以這個(gè)機(jī)制其實(shí)是安全的。2014年底,比特幣錢(qián)包blockchain.info在一次版本升級(jí)中出現(xiàn)了一個(gè)嚴(yán)重的隨機(jī)數(shù)問(wèn)題,就是因?yàn)镽值重復(fù)導(dǎo)致了丟幣。當(dāng)時(shí)是被一個(gè)白帽黑客很快就發(fā)現(xiàn),兩個(gè)半小時(shí)之后問(wèn)題被修復(fù)。但是就在這2.5小時(shí)期間就有一千多個(gè)地址的200多枚比特幣丟失,所以隨機(jī)數(shù)在區(qū)塊鏈里面是一個(gè)“命根子”。
第二,私鑰得冷。冷,實(shí)際上就是不聯(lián)網(wǎng)。因?yàn)楝F(xiàn)在黑客無(wú)孔不入,不要說(shuō)我們一些民用的系統(tǒng)和建設(shè),就像美國(guó)軍方安全防護(hù)非常嚴(yán)的系統(tǒng),甚至也是說(shuō)進(jìn)就能進(jìn)的。所以要想真正做到完全的安全,一定是冷的,并且是從始至終的冷。
第三,私鑰不能丟。私鑰丟失是導(dǎo)致資產(chǎn)損失最多的原因。私鑰要抄在紙上,要抄對(duì),然后放在一個(gè)絕對(duì)不會(huì)忘的地方。而且私鑰和錢(qián)包不要放在一塊。
剛才講了這么多,實(shí)際上只是整個(gè)安全領(lǐng)域非常小的部分,總結(jié)起來(lái)就是,錢(qián)包是一個(gè)易做難精的東西。易做是因?yàn)檫@個(gè)東西有很多開(kāi)源代碼可以去參考,包括我們的比太錢(qián)包和比特護(hù)盾也都是開(kāi)源的,實(shí)際上參考別人的代碼稍微改動(dòng),想做錢(qián)包很簡(jiǎn)單。但是真要想把里面的這些門(mén)道摸清楚,保證用戶(hù)安全,實(shí)際上非常難。我們認(rèn)為只是把自己的事做好還不夠,當(dāng)用戶(hù)把他要做事情做好,樹(shù)立安全意識(shí),其實(shí)更重要。
最后講安全和生態(tài)方面的一些東西,“開(kāi)放”。之前錢(qián)包是一個(gè)低頻的場(chǎng)景,基本上大家的注意力在交易上。但是從去年的下半年開(kāi)始,整個(gè)生態(tài)逐漸變化,很多落地東西開(kāi)始出現(xiàn)增多,場(chǎng)景也將越來(lái)越多,大家用錢(qián)包的頻率比以前有了爆炸性的增長(zhǎng),錢(qián)包變成一個(gè)高頻場(chǎng)景,并且錢(qián)包里面的東西也越來(lái)越多,不只是一個(gè)收發(fā)幣那么簡(jiǎn)單。
這個(gè)變化對(duì)錢(qián)包團(tuán)隊(duì)其實(shí)提出了一個(gè)特別大的挑戰(zhàn),就是你又想安全又想開(kāi)放,這兩個(gè)東西其實(shí)是矛盾的。如何能在保證安全的前提下盡可能開(kāi)放,是一個(gè)非常難的事情。
在我們看來(lái),開(kāi)放實(shí)際上包含3個(gè)層面。
第一個(gè)層面,應(yīng)用類(lèi)的開(kāi)放。比如大家在錢(qián)包里面可以直接玩以太貓了,可以去預(yù)測(cè)市場(chǎng),變成一個(gè)生態(tài)入口。
第二個(gè)層面,技術(shù)的開(kāi)放。我們做錢(qián)包這么多年,我們的技術(shù)的積累,對(duì)行業(yè)的理解,包括我們有些研發(fā)出的東西,都可以開(kāi)放給大家。
第三個(gè)層面,生態(tài)的開(kāi)放。對(duì)于優(yōu)秀的合作伙伴,是不是能夠分享自己的資源,大家一塊把事情做大。
基于這樣的思考,我們提出合作伙伴計(jì)劃,提供包括技術(shù)咨詢(xún)、區(qū)塊鏈技術(shù)支持、開(kāi)放平臺(tái)、入口支持、生態(tài)支持、海外市場(chǎng)合作。幫助合伙伙伴實(shí)現(xiàn)區(qū)塊鏈轉(zhuǎn)型或區(qū)塊鏈項(xiàng)目孵化,安全、便捷的實(shí)現(xiàn)真正落地的區(qū)塊鏈應(yīng)用場(chǎng)景。
最后,我想以投資人張泉靈老師的一句話(huà),作為結(jié)束。“歷史的車(chē)輪滾滾而來(lái),越轉(zhuǎn)越快,快到你要不然就躲在一個(gè)沒(méi)有輪子的世界里面,要不然擋著他的路了,你得斷臂求生,再不然就跳上去,看看它滾向何方。”
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。