做好這三件事讓你的數(shù)字錢包安全無憂

來自比特派的合伙人王超在演講中分享了比特派對(duì)于安全和開放的思考。王超列舉了比特幣歷史上的知名丟幣事件以及背后原因，并給出了應(yīng)對(duì)措施：私鑰得足夠隨機(jī)、私鑰得冷、私鑰不能丟。4月14日，巴比特在廈門舉辦了第七期【Chainge】技術(shù)沙龍，邀請(qǐng)到了火幣CTO程顯峰、比特派合伙人王超、慢霧安全團(tuán)隊(duì)海賊王、Keywolf、imToken首席安全官Blue、幣派CEO胡園泉，以“區(qū)塊鏈技術(shù)的安全隱患”為話題，對(duì)區(qū)塊鏈技術(shù)中存在的風(fēng)險(xiǎn)和安全隱患進(jìn)行了深入討論。

來自比特派的合伙人王超在演講中分享了比特派對(duì)于安全和開放的思考。王超列舉了比特幣歷史上的知名丟幣事件以及背后原因，并給出了應(yīng)對(duì)措施：私鑰得足夠隨機(jī)、私鑰得冷、私鑰不能丟。另外，隨著區(qū)塊鏈的熱潮到來，生態(tài)發(fā)生了變化。錢包開始從低頻變得高頻，且不再是存儲(chǔ)用戶資產(chǎn)那么簡單，在此王超提到了錢包的“開放”概念，包括應(yīng)用類的開放、技術(shù)的開放以及生態(tài)的開放。

以下為嘉賓演講內(nèi)容，巴比特做了不改變?cè)獾恼恚?/p>

我叫王超，來自比特派團(tuán)隊(duì)，非常感謝巴比特的組織和邀請(qǐng)，有機(jī)會(huì)跟各位專家學(xué)習(xí)和交流。我想借這個(gè)機(jī)會(huì)分享一下我們團(tuán)隊(duì)對(duì)于安全和開放的一些思考。

比特派始于2014年，在過去的五年間，我們的錢包幫助數(shù)十萬用戶管理了接近100萬的比特幣資產(chǎn)，沒有出過一起安全事故。同時(shí)我們的比太錢包是華人世界唯一被Bitcoin.org推薦的錢包。Bitcoin.org最早由中本聰注冊(cè)，之后交給社區(qū)管理，雖然比特幣是一個(gè)去中心化的網(wǎng)絡(luò)，但這個(gè)網(wǎng)站具備準(zhǔn)官方性質(zhì)。能夠被推薦實(shí)際上是非常難的，代碼要經(jīng)過特別嚴(yán)格的第三方審核。

比特派是我們團(tuán)隊(duì)研發(fā)的產(chǎn)品，經(jīng)常有客戶會(huì)問，比特派和比太有什么區(qū)別?其實(shí)區(qū)別還是挺大的。比太錢包是比特幣單幣種錢包。而比特派是一個(gè)多用戶資產(chǎn)管理平臺(tái)，已經(jīng)接入了20多個(gè)不同的區(qū)塊鏈網(wǎng)絡(luò)，還包括所有的ERC20 token。簡單易用，小白、大媽都能輕松上手。我們有一塊硬件錢包——比特護(hù)盾，設(shè)計(jì)成手表模式，能夠做到冷熱結(jié)合，既安全又便捷。

區(qū)塊鏈?zhǔn)澜珀P(guān)于安全有說不完的話題?？v觀整個(gè)區(qū)塊鏈行業(yè)的發(fā)展史，基本上是一部“丟幣史”。下面列舉了一些比較著名的機(jī)構(gòu)丟幣事件，按現(xiàn)在的價(jià)格計(jì)算，基本上是幾十億甚至是上百億的資產(chǎn)。一旦這樣的事情發(fā)生，不要說一些區(qū)塊鏈的機(jī)構(gòu)，就是金融機(jī)構(gòu)都未必能承受這樣的損失。

如果我們不保存在機(jī)構(gòu)，自己保管比特幣，是不是會(huì)安全?實(shí)際上也是未必的。

歷史上曾經(jīng)發(fā)生過多次因?yàn)殡S機(jī)數(shù)問題造成丟幣。比如去年的以太坊Parity錢包，也出現(xiàn)過兩次多重簽名漏洞，大量的用戶資產(chǎn)丟失。以及慢霧科技不久前披露的非常經(jīng)典的以太坊賬戶漏洞問題，大家會(huì)發(fā)現(xiàn)原來這個(gè)世界里面黑客攻擊手段是難以想象的。

丟幣最多的都是因?yàn)閭€(gè)人原因，比如：

電腦/手機(jī)丟失、損壞導(dǎo)致的丟幣(無備份);

釣魚郵件、木馬病毒導(dǎo)致的被盜;

私鑰/密語存儲(chǔ)在郵箱、云盤等網(wǎng)絡(luò)空間所導(dǎo)致的丟幣;

使用偽造的錢包app丟幣(AppStore、QQ群、二手硬件錢包等);

騙子索取私鑰/密語導(dǎo)致的丟幣;

用不安全的方法領(lǐng)分叉幣，結(jié)果把比特幣給弄丟了。

甚至還有騙子冒充這錢包、交易所的客服去要用戶的密碼，造成丟幣，我們見到很多這樣用戶，不一一列舉了。

總結(jié)起來，在區(qū)塊鏈的世界里面，滿地都是坑，每一個(gè)坑都有可能會(huì)埋了大量的資產(chǎn)。怎么去避免踩坑呢?

這里邊給出一些建議，第一，私鑰得足夠隨機(jī)。我們知道私鑰決定了區(qū)塊鏈資產(chǎn)的所有權(quán)，丟了私鑰也就相當(dāng)于丟了一切。私鑰實(shí)際上是一個(gè)隨機(jī)數(shù)，但是這個(gè)隨機(jī)數(shù)的概念空間比較大，是2的256次方。私鑰一般是由錢包隨機(jī)生成的。我們首先要強(qiáng)調(diào)錢包的這個(gè)隨機(jī)數(shù)的生成過程一定要真隨機(jī)，這個(gè)非常重要。

計(jì)算機(jī)生成的隨機(jī)數(shù)一般稱為偽隨機(jī)，因?yàn)樗怯幸粋€(gè)確定的算法，配合一個(gè)種子(比如時(shí)間)，來生成一些看起來隨機(jī)的結(jié)果，但實(shí)際上任何人只要掌握算法，掌握這個(gè)種子，就有可能得到同樣的結(jié)果，也就是說它是可預(yù)測的。

比如說比特幣，宇宙里面有2的256次方個(gè)小抽屜，生成一把比特幣私鑰，就是隨機(jī)選一個(gè)抽屜往里放錢。因?yàn)檫@個(gè)數(shù)足夠的大，地球上所有的人每隔一秒生成一個(gè)私鑰也不會(huì)重復(fù)，所以這個(gè)機(jī)制其實(shí)是安全的。2014年底，比特幣錢包blockchain.info在一次版本升級(jí)中出現(xiàn)了一個(gè)嚴(yán)重的隨機(jī)數(shù)問題，就是因?yàn)镽值重復(fù)導(dǎo)致了丟幣。當(dāng)時(shí)是被一個(gè)白帽黑客很快就發(fā)現(xiàn)，兩個(gè)半小時(shí)之后問題被修復(fù)。但是就在這2.5小時(shí)期間就有一千多個(gè)地址的200多枚比特幣丟失，所以隨機(jī)數(shù)在區(qū)塊鏈里面是一個(gè)“命根子”。

第二，私鑰得冷。冷，實(shí)際上就是不聯(lián)網(wǎng)。因?yàn)楝F(xiàn)在黑客無孔不入，不要說我們一些民用的系統(tǒng)和建設(shè)，就像美國軍方安全防護(hù)非常嚴(yán)的系統(tǒng)，甚至也是說進(jìn)就能進(jìn)的。所以要想真正做到完全的安全，一定是冷的，并且是從始至終的冷。

第三，私鑰不能丟。私鑰丟失是導(dǎo)致資產(chǎn)損失最多的原因。私鑰要抄在紙上，要抄對(duì)，然后放在一個(gè)絕對(duì)不會(huì)忘的地方。而且私鑰和錢包不要放在一塊。

剛才講了這么多，實(shí)際上只是整個(gè)安全領(lǐng)域非常小的部分，總結(jié)起來就是，錢包是一個(gè)易做難精的東西。易做是因?yàn)檫@個(gè)東西有很多開源代碼可以去參考，包括我們的比太錢包和比特護(hù)盾也都是開源的，實(shí)際上參考別人的代碼稍微改動(dòng)，想做錢包很簡單。但是真要想把里面的這些門道摸清楚，保證用戶安全，實(shí)際上非常難。我們認(rèn)為只是把自己的事做好還不夠，當(dāng)用戶把他要做事情做好，樹立安全意識(shí)，其實(shí)更重要。

最后講安全和生態(tài)方面的一些東西，“開放”。之前錢包是一個(gè)低頻的場景，基本上大家的注意力在交易上。但是從去年的下半年開始，整個(gè)生態(tài)逐漸變化，很多落地東西開始出現(xiàn)增多，場景也將越來越多，大家用錢包的頻率比以前有了爆炸性的增長，錢包變成一個(gè)高頻場景，并且錢包里面的東西也越來越多，不只是一個(gè)收發(fā)幣那么簡單。

這個(gè)變化對(duì)錢包團(tuán)隊(duì)其實(shí)提出了一個(gè)特別大的挑戰(zhàn)，就是你又想安全又想開放，這兩個(gè)東西其實(shí)是矛盾的。如何能在保證安全的前提下盡可能開放，是一個(gè)非常難的事情。

在我們看來，開放實(shí)際上包含3個(gè)層面。

第一個(gè)層面，應(yīng)用類的開放。比如大家在錢包里面可以直接玩以太貓了，可以去預(yù)測市場，變成一個(gè)生態(tài)入口。

第二個(gè)層面，技術(shù)的開放。我們做錢包這么多年，我們的技術(shù)的積累，對(duì)行業(yè)的理解，包括我們有些研發(fā)出的東西，都可以開放給大家。

第三個(gè)層面，生態(tài)的開放。對(duì)于優(yōu)秀的合作伙伴，是不是能夠分享自己的資源，大家一塊把事情做大。

基于這樣的思考，我們提出合作伙伴計(jì)劃，提供包括技術(shù)咨詢、區(qū)塊鏈技術(shù)支持、開放平臺(tái)、入口支持、生態(tài)支持、海外市場合作。幫助合伙伙伴實(shí)現(xiàn)區(qū)塊鏈轉(zhuǎn)型或區(qū)塊鏈項(xiàng)目孵化，安全、便捷的實(shí)現(xiàn)真正落地的區(qū)塊鏈應(yīng)用場景。

最后，我想以投資人張泉靈老師的一句話，作為結(jié)束。“歷史的車輪滾滾而來，越轉(zhuǎn)越快，快到你要不然就躲在一個(gè)沒有輪子的世界里面，要不然擋著他的路了，你得斷臂求生，再不然就跳上去，看看它滾向何方。”