新闻稿

从数字货币丢币血泪史,到如何保障你的资产安全?

嘉宾:文浩比太钱包创始人

毕业于北航计算机系,曾带领团队设计开发了彩票销售与管理系统,进入区块链领域后带领团队开发了中国唯一一个被bitcoin.org官方推荐的比太钱包。之后又开发了新手也能轻松上手的多区块链资产钱包-比特派bitpie.com及硬件钱包比特护盾。在区块链技术领域享有良好声誉。

数字资产频繁丢失,交易所、个人丢币事件不断发生,数字钱包不断出现漏洞,怎样选择合适的钱包保证资产安全?比太钱包创始人文浩为你讲述数字钱包的安全与开放,为你深度解读钱包的奥秘。全文包括5个部分:

一、平台丢币史

二、钱包漏洞史

三、个人丢币案例

四、如何保证资产安全

五、区块链的应用场景

首先简要做一下自我介绍,我叫文浩,算是比较早进入币圈的人。我最早做的项目是比太钱包,2014年4、5月份出了第一个版本,可以说是币圈老人的专署钱包。 2016年转型做比特派钱包,今年年初发布了一款叫比特护盾的硬件钱包。今天分享的题目叫钱包安全与开放,区块链的一些跟安全相关的东西,用户应该如何保管区块链资产,应该如何选择和使用钱包等。

首先我们是国内唯一一个被Bitcoin.org官方推荐的钱包,这个词的分量是不一样的。

第一,Bitcoin.org是中本聪留下的网站,中本聪最开始创造比特币时,注册的网站就是Bitcoin.org,他离开社区后把这个网站交给了社区的几个活跃分子管理。

第二,Bitcoin.org是公益性质的,主要给大家介绍和宣传比特币的基本理念,帮助小白用户更好的使用比特币,从这个角度讲,Bitcoin.org是有准官方性质的。上面的owner(管理者)、maintainer(维护者)看待问题的都是非常中立的,比如推荐钱包或者交易服务时,他们不会推荐有钱的团队,他们有一整套价值安全标准,有一些原则,比如首先必须得是开源的钱包,第二个是安全审计通过验证的,第三要能够真正解决现实问题,第四是在过去几年没有行业口碑问题的。

其次,我们是全世界最早创造冷热签名模式的钱包,两台设备来回扫描二维码就能够轻松完成冷钱包离线签名。很多人出现丢币问题,而需要预防黑客、木马病毒需要完全断网。所以我们设想可以有两部手机,一部日常手机连着网,另一部备用手机断网,两部手机扫二维码就可以完成这种离线签名的操作,不用担心黑客。我们还是唯一的一个开源的协议,开源协议都是我们自己写的。有很多拥有几百个,几千个,上万个比特币的用户都在使用我们的钱包,比特币在比太冷钱包一存两三年,没有出过一起安全事故,这是很难的。

但是由于比太钱包是开源免费的,并且支持大额冷存储,很多用户一直用比太钱包存储大额数字货币,很难有比较好的盈利模式。而这个世界一定是简单战胜复杂,所以我们在战略上做了调整,2016年中期经历了一次转型,开始做比特派,同年年底比特派开始公测,之后又做了比特护盾硬件钱包。

首先要做到简单易用,任何年纪都能轻松上手,比特派用户有中国三线城市的70岁以上客户;

第二,随着区块链的爆炸式的发展,必须做到支持多种区块链资产,不只支持比特币,还包括以太坊、分叉币,糖果、空投等,这一段时间还投入了大量的精力开发做到支持EOS。第三点是比特派得有对应冷钱包的方案,不是以前的来回扫描,得足够简单,这也是比特护盾要做的事。

 

  1. 平台丢币史

 

现在给大家讲一讲币圈,链圈这些年的丢币史。

先说平台的丢币史。交易所聚集大量的币,海量的币都存在大交易所上。 2012年有一个比较火热的平台叫Bitcoinica,Bitcoinica两个月内前后两次被盗合计六万多个比特币。

紧跟着一次非常大的盗币事件就是2014年MTGOX破产事件,当时缺口有85万个比特币,后来找回了20万个比特币的私钥,最终的缺口是65万个比特币。 MTGOX昔日是全球最大的交易所,现在所有大交易所的市场份额加在一起,都不如MTGOX当年那么高,像Bitfinex以及国内当时几大交易所,都要拿MTGOX去对冲。 Bitfinex当年曾经有一半资产都是存在MTGOX。很多种小型交易所觉得自己不具备管币的能力,直接把MTGOX当存币平台来使。

2015年,Bitstamp热钱包被盗两万个比特币。黑客通过社工的方式黑了Bitstamp的几台电脑,其中一台电脑有权限进入到被盗的VIP环境,黑客就以那个电脑为跳板,费了很大的力气把Bitstamp的热钱包的(wallet. dat)给盗了。但是黑客比特币的知识或者相关的技能并没有那么深,他只能是挨个私钥的倒,发现钱多就转走,墨墨迹迹偷了好几天,最后一共偷走了两万个比特币。

在Bitstamp被盗之后没过多久,大名鼎鼎的Bitfinex的热钱包被盗一千六百个比特币,相当于是两家的美元当时活跃的交易所。后来管理层出了一个决策,跟Bitgo合作搭建多重签名的企业级安全方案,但是搭建这个方案一年多过后,他们被黑客入侵。 Bitgo签名第三方签名形同虚设,Bitfinex一下被盗12万个比特币。

2016年Gatecoin众筹,THE DOA众筹非常火热,而Gatecoin只是THE DOA ICO,很多人把以太充到Gatecoin,结果Gatecoin总共被盗了十八万五千个以太坊。

除了这些大的案例,国内外还发生过很多起小案件,比如Crypsy一两万个币被盗,结果就完蛋了;比特儿当年被盗八千个比特币;796几次下来盗了五千个比特币;Shapeshift是非常知名的币币兑换的平台,服务做的很好也被盗;还有比特币存钱罐这些。

    2. 钱包漏洞史

讲完平台的丢币史之后,再讲讲钱包的漏洞史。

无论是个人和企业都需要钱包来管理各类的区块链资产,包括早期比特币资产再到后边越来越活跃的区块链资产,token资产,出过很多次的钱包漏洞。

比如说早期的时候,安卓手机系统内置随机数的库有问题,无法生成密码随机数,当时在安卓手机上使用钱包,如果不小心出现了重复签名的K值,你的币就没了,这个当时碰撞概率还是比较高的。

紧跟着Firefox浏览器的某几个版本提供不了安全的随机数,使用那些版本的用户如果不小心丢币,可能也没了。

再说一下国外非常有名的在线钱包平台,Blockchoin.info,很多用户称之为国际钱包,前后出现过三次随机数问题,其中比较严重的一次问题是是更新代码所导致的随机数问题。他们认为他们的Random程序里面的GS代码是随机的,结果一次版本更新写错代码了,之后们团队反推出来发现随机数的熵只有0-255,虽然之后进行相当多的数学计算的拉伸可以变换出无穷多的随机数,但是这些随机数是有规律的,那几个小时,所有使用Blockchoin.info服务的私钥都是重复的,他们的币都会丢。

历史上还有其他钱包软硬件的漏洞,比如程序错了,签名错了。以太坊的官方钱包Parity在去年半年时间出过两次多重签名漏洞,害了不少ICO团队,牛逼一点的ICO项目自己有开发能力,想多出签名管理募来的以太坊,第一次发现转进去的比特币提不出来,还有一次谁都能提,这是多重签名造成的用户的损失。

在EOS项目开发过程中,我在6月份先后发表过两篇跟随机数以及签名文相关的文章,一次是一些第三方团队在开发EOS钱包过程中,签名没有遵循RFC6979;另外一次就是在前段时间一些新进入区块链世界的钱包团队,根本不懂密码学原理,他们同样把随机数写错了。我们团队经历过之前安卓随机数事件,知道如何正确的写随机数的代码,有兴趣的可以搜一下《比太钱包随机数》,国内早期最权威随机数的文章都是我写的。

在安卓上不要用系统给你提供的随机数的方法,不要用SecureRandom,要用-dev下的URandom要用内核太的随机数生成器,这样可以避免厂商写错了,或者一个room的厂商随便更改随机数。直到今天还有团队写错签名,写错随机数,他们不知道写错随机数对于用户来说,就是致命之伤,用户资产有可能灰飞烟灭。

再给大家举一个更近的案例,EOS生态在过去一个多月发生的事情。 EOS吸引区块链世界非常多的眼球和注意力和资金,也吸引非常优秀的团队做与EOS相关的开发。一些团队写的相关的前几天出来的,比如说有人做了一个EOST这个团队做的一个网页,可以让你把其他的钱包的密语导进来,导进来之后就给会你计算出对应的EOS公钥、私钥,最后导到新开发的钱包里面干后续的事情。

很多人之前做映射EOS的项目,各种各样功能都被开发出来了,但要足够的安全,像之前EOS的签名还要经过调试确认安全性。现在就是很多人很急,赶紧EOS炒内存,赶紧做这些事情,这种情况下的确有一些服务做出来了。但是我们非常不建议大家这么做这件事。

第一,拿一些网页上去把这个私钥导入很有可能真的是把你其他的资产全盗了。如果说是一个网页上咱们假设是一个DNS替代,给你污染了,或者浏览器双核的一个插件,恶意的,你导私钥,把比特币、以太坊,EOS映射资产给你干掉了,这一类的币圈悲剧非常多。

我们说当时的网页他们写了一个功能,给你放了一个框,让你往里面填比如说12个词,给你计算出对应的EOS主网的私钥、公钥。这个东西由于做了这个功能之后,并没有做很多的安全校验,实际上缺乏一些安全意识。用户可以随便在这个框里填东西,然后就能计算私钥和公钥。比如可以填hello、goodmorning,都没有问题,有些用户认为这不就是密码工具吗,有一些用户真的填一个hello,然后生成私钥、公钥,觉得这是自己的EOS账户,拿到一些钱包里面导入,导入之后往上转移EOS,然后开始买帐号等等。突然一天被别人把东西卷走了,这是一个比较严重的设计漏洞。

  1. 个人丢币案例

我讲完平台丢币史和钱包漏洞史之后,我再跟大家讲讲个人丢币的案例。

1、个人丢币的案例太多了。在比特币世界私钥是决定产权,你没有私钥就没有币。比如说电脑、手机丢失、损坏但是没有备份。

2、接着说就是钓鱼邮件,木马病毒。钓鱼邮件经常给你发邮件,伪装得非常好,觉得是官方网邮件,用户点击链接填信息就给你干了。然后木马病毒导致被盗也是一样,木马病毒控制你的电脑上看你上面有value.data,把私钥给你盗走了。

3、第三类是私钥密码被盗,用户将密码存到电脑里、邮箱里、云盘里,这一类丢币特别多。我们提倡不要截屏,有人自我聪明用另外一个手机拍照,然后传到云盘,这真是相当于把钱交给别人。有一个用户的币突然被人转走,后来发现他的私钥在百度云盘里。百度云盘的密码在第三方的各种各样的库中能找到,这个密码相当于是明文,被暴露的密码。

4、还有一类是使用伪造的钱包盗币。一种是非常常见的假钱包,比如有一款和比特派做的特别像钱包,叫做比特pay,一些人下载错了,将币转进去,结果就被盗了;还有一种是二手硬件钱包,硬件钱包一定要通过官方渠道购买,有人图便宜去非官方渠道买二手硬件钱包,结果固件被别人改掉了,钱包里的币也没了。

5、还有群组,大家喜欢加入矿工群扎堆挖矿,比如说你是新矿工,一进去热心人跟你聊天,让你别乱用钱包,小心丢币。他给你发一个钱包,让你用,结果你往上一存币,币就被人转走了。

6、还有一种是骗子网站索取私钥和密语。有人做了一个假的比特派网站,上面就一个界面,放了12个框,让你输入12个单词。骗子就不断的找比特派用户加好友,让用户填写12个单词,结果真有人填。

7、还有一种就是领分叉糖果时,一些用户将私钥导入乱七八糟的地方,这种方式是不安全的,结果把比特币、以太坊弄丢了。

  1. 如何保证资产安全

那讲了这么多案例,从平台丢币的案例,到钱包漏洞的案例,再到一些个人丢币的历史,我现在跟大家讲一讲钱包,最开始留下的币。

我们有几十人的团队规模,70、80%都是技术骨干,他们在币圈相关的密码学、钱包基础、区块链技术上有丰富的经验。都认为钱包真的是易做难精,基于什么呢?

第一,很多比特币或者以太坊的钱包都是开源额。随便找一个开源的钱包改个名称,换个皮肤,稍微调一点功能,很快就能创立一个自己的钱包。但是很难做到“精”,钱包背后需要非常多的技术,数据校验,ECDSA、智能合约等,密码学的技术分量是非常多的

那么如何应该保证资产安全呢?首先如何选择钱包,毫无疑问你要尽可能的选择以太官网、EOS官网或者其它币种官网所推荐的钱包。

第二,如何安全的存储大额资产。大额资产是一个相对的概念,对于比尔盖茨来说一亿美金的资产是小资产,对于大学生一万块钱是大资产。大额资产应当选择冷存储,要使用开源的解决方案,不开源就当于把币交给了别人,是存在道德风险的。

  1. 区块链的应用场景

那说完安全之后,我再跟大家说说今天第二大主题——开放。比特派钱包做到今天,无论是用户资产、用户数量、用户活跃度在行业都遥遥领先,比特派上现在的用户代管资产量相当大,我们也在努力的为这些用户提供更好的区块链资产的管理方案。但是仅仅是安全还不够,因为区块链资产大家还得用,所以我们实际上现在还在做很多更多的这种开放平台的这种开发工作。

先跟大家讲讲区块链的发展史,在2016年之前,是叫比特币和山寨币的炒币时代。比特币暴涨暴跌,山寨币更大比例的暴涨暴跌,币种多的数不过来。这个是炒币时代,对钱包的需求基本没有,因为只有比特币或者某一个山寨币的信徒会需要钱包,他会在交易所里买币回来团几年,大额团币需要冷钱包,那是那个年代比太钱包需要满足的需求。

2016年,区块链概念横空出世,但那时提到的联盟链、私有链、银行业联盟、R3、保险业联盟等,都是落不了地的,是伪区块链的概念流行。但是到了2017年真正的区块链概念横空出世,火爆了一个词叫ICO,再到年底的私募。再加上2017年底的迅雷的尝试以及加密猫年底的火热把以太坊搞堵了,所以2017年我称为区块链应用的元年。

2017年区块链应用元年和之前的炒币时代的区别就是越来越多的人开始需要钱包。比如ICO私募需要拿钱包参与,加密猫需要拿钱包去玩;分叉币糖果需要钱包;进入了钱包的时代。 2018年区块链的应用场景就越来越多了,各类的项目也越来越多。 2018年6月开始进入主链时代,比如EOS主链、波场、比原链这一类项目逐渐出现。

这些变化使得钱包开始真真正正的成为进入区块链的入口,钱包应用场景越来越多,比特派的用户量在2017年也经历了指数级的增长。 2018年钱包越来越高频,我们用户日活越来越高,每天打开钱包,收发币、领分叉天天在那盯着干各种各样的事情这个使得钱包开始越来越具备入口特性。

token、去中心化应用时代开始来临,钱包真正成为入口。在安全的前提下做到开放是对钱包提出更高的要求,这里说一下开放平台的场景,也是区块链应用的场景。

第一个应用场景是token。越来越多古典互联网项目未来都可以考虑token化的生态。越来越多的对token的需求会从炒转往用。比如说你玩预测市场的游戏,你可能用这个预测市场的token参与预测;如果有阅读需求,可以打赏作者token进行阅读,这些都是有可能的。

第二个应用场景是游戏。去年年底加密猫横空出世,开创了区块链游戏时代,当时就把以太坊堵了。

精彩问答

Q1:目前移动端冷热结合的钱包发展还有那些问题,是否冷热结合就是最安全的?

文浩:当前移动端冷热结合的发展离理想的状态还有距离,技术虽然不断发展,但仍然有很多可改进的地方。要适应区块链高速发展,冷钱包有很多可优化的地方。安全的定义是相对的,保管的妥当,热钱包可能比冷钱包还安全。但是当你数字资产多到一定程度,你就得想我就得冷钱包保存。钱包是为了满足日常需要,冷钱包是为了离线断网大额存储,所以冷钱包是更安全的。

Q2:数字货币钱包在移动支付普及方面还有那些问题,比特派做出了哪些努力?

文浩:我们做的努力实际上是很多的,比如说比特派的支付体验已经比较好了,几乎接近支付宝了,交易速度得到了大幅度的提升。

当前的支付需求并没有想像中得那么强烈,区块链世界是一个小受众群体的世界,所以更多的数字货币当前在支付领域的尝试应该更偏刚需一点。只有当其它支付方式不方便时,用到数字货币支付才适合。

总体来说当前的数字货币支付包括两点,第一点是钱包内交易所,第二点是是否是去中心化形态。更多需求一是刚需,二是区块链世界本身的支付场景,比如说DAPP的支付,加密猫的支付,ICO的支付。在这一类支付上比特派做了很多的努力。

Q3:有人说实现币币交易的钱包会颠覆交易所,这个需要什么样的技术,还需要多久?

文浩:首先这里包括两点,第一点是钱包内交易所,第二点是否是去中心化形态的。

第一,比特派本身就有钱包内交易所,钱包内的交易所就是区块链资产的用户。而传统交易所,只有交易的用户,你才可以用区块链资产干一些其他的事情。币币交易的钱包会颠覆交易所,这是一个趋势。

第二,去中心化交易所会什么时候到来,这个肯定会到来,只不过当前的技术形态还不够成熟。需要像闪电网络这一类的技术普及,将交易成本降到几乎为零。

Q4:比特派是不是没开源?为何考虑不开源?

文浩:不同的产品的开源策略是不一样的。比太是全开源的,比特护盾也是全开源的,比特派并没有开源的主要原因是比特派和比太、比特护盾是不一样的。

比太是去中心化的钱包,它是连接比特派网络上其他节点来实现的钱包功能。比特派是私钥管理去中心化,数据安全校验去中心化,但是区块数据查询服务中心化的一个钱包。在比特派里是钱包客户端管理相关的私钥,地址上有多少币,有哪些交易,这需要跟中心化服务器打交道。出于这一点的考虑,比特派开源策略采用不一样的开源策略。因为我们要考虑中心化服务器的安全性。未来我们会逐步开放比特派的一些代码,包括签名,合约这一类的代码,但不会设计成全开源。

Q5:HTC手机厂商日前发布了一款区块链手机,钱包方面提供了硬件支持,您怎么看待这件事?

文浩:术业有专攻,钱包是一个非常强的APP属性,区块链钱包本身是一个易做难精的活,需要了解密码学、随机数、ECDSA、点对点区块数据同步、智能合约等。手机厂商如果没有搞明白底层最基本的东西,贸然尝试做区块链钱包,有可能存在很大的安全性问题。

Q6:跨链技术的突破会给钱包带来什么影响,比特派是否已经考虑跨链技术的应用?

文浩:多链本身就会给钱包带来巨大的影响,单一区块链资产的钱包肯定是要被淘汰。比特派目前已经实现了多链资产通吃通兑。跨链技术、闪电网络这一类的技术,如果有更成熟的落地方案的话,毫无疑问跨链的原子交易会是革命性的。这会使得钱包内提供去中心化的交易服务的体验,跟中心化交易一样,高频、撮合,没有任何问题,而且不需要信任。现在把币存到中心化交易所,未来就不用了,拿到自己手里,仍然可以做跨链原子交易,这在未来是革命性的,只是看未来什么时候到来。

Q6追问:跨链技术是否会成为去中心化钱包的重要性突破口,去中心化钱包是否会由此超越中心化钱包?

文浩:当然这个肯定是重要的突破口。钱包未来肯定是去中心化的,私钥自己管理,在我看来是未来的一个趋势。在区块链世界,币拿在自己手里你可以参与区块链的各种各样的活动,在别人手里也一样可以高效可靠的进行交易。

Q7:如果移动支付钱包普及开来,是否会有某一个钱包像微信、支付宝一样成为移动端的超大流量端口,还是会是一种遍地开花的状态,如果要做成支付宝一样的市场头部核心端口,比特派的优势在哪里,目前有什么计划么?

文浩:肯定会有钱包未来会成为移动端的超大流量入口,这跟区块链的发展趋势相匹配。但是它又不会走微信、支付宝这一条路。区块链世界的变化太快了,这种情况下区块链世界永远是有机会。所以,它不会像微信、支付宝一下子把市场吃了。

如果要做成和支付宝一样的头部核心窗口,比特派的优势在技术。在区块链的世界,你得真正给用户提供安全可靠的方案,而且还得能跟的上区块链高速发展的趋势。我这需要强大的技术支持。我们会和好的项目方深度合作,帮助它们提供更安全,更方便,更快捷的钱包方案,让用户可以轻松的跟使用支付宝和第三方APP一样,轻松的使用比特派和具体项目方的解决方案。

 

BTC Shop Hong Kong

广告查询 ADVERTISE
Back to top button