比原链开发者大会丨区块链钱包存在两个重大安全隐患

2018年11月18日，“2018比原链全球开发者大会”在杭州国际博览中心（G20会馆）继续进行，这是杭州第一次由开源组织举办的技术型峰会，也是杭州被誉为区块链之城以来规模最大的一场区块链开发者大赛，100+开发团队历经4个月激烈厮杀，16支团队将在本次大会上展开最终角逐。

在下午的《钱包的安全与隐私的再考量》圆桌对话环节，kcash CEO祝雪娇、链安科技 CMO高子扬、Bepal CEO胡园泉、imToken CSO Blue针对钱包的安全与隐私做了深入探讨，Chainge社区负责人钱佳欢任主持。

以下是圆桌干货内容，巴比特整理：

1.用户体验和安全性之间的平衡

祝雪娇：

首先是用户分层：第一种是囤比特币、以太坊，即愿意持有大量数字货币资产的人，这部分人对安全性的要求会特别高。第二种是不大量存储比特币、以太坊等的数字货币的用户，这种用户是临时用户，对使用性要求非常高，对安全性要求没有那么高。

具体做法是：降低门槛。针对资产要求不高的用户，这部分人是潜在的巨大的市场。在提升用户体验上，第一种做法是把私钥降维，普通用户不需要知道私钥这些东西，只需要知道他要使用数字资产的时候，我给他充值的地址，他把钱冲进来，能把人民币换成东西或者使用这个DAPP。第二种做法是转账免手续费。我们通过自己的资金池返回给用户一定的比特币或者以太坊，让用户的转账成本几乎为零。

2.安全防护建议

高子扬：

钱包安全的问题特别多，也比较复杂。在做钱包的时候，大家第一考虑也肯定是安全，因为没有安全，不管用户体验再好，也没有人敢使用这个钱包。

在热钱包、冷钱包的问题上，钱包不管在APP还是在网页上都不太安全，而且本身安卓系统本身就有安全，再加上还有钓鱼网站等问题，这些问题本身不是钱包的问题，但也是我们需要关注的问题。

钱包存在两个安全维度：

第一，用户体验。其实很多钱包出现一些安全问题，不是钱包本身的安全问题，更多是在用户的层面，怎样教育用户使用好钱包或者用更简单的方式让他们能更好使用钱包，不出现自己人为的安全错误，是我们要思考的问题。

第二，冷钱包的安全。冷钱包的领域也有很多优秀的企业，但都绕不开几个问题：①私钥的保护，要用安全芯片；②交易篡改，把用户的钱包拿去进行武力的破解。

针对安全问题的解决方式：我们是形式化验证的公司，会对硬件钱包的软件操作系统进行验证，保证代码级别的安全。

3.钱包的技术难点

胡园泉：

①单一的硬件钱包或者冷钱包的方案没有办法满足所有场景、所有用户的需求。比如说大额的单笔转账以及长期的存储是一种场景，用户可能需要能够稳定存储的介质、安全生成的私钥的环境以及使用的过程整体从软件层面到对接的服务端的接口，都需要很好的安全的保障。另外，多批量的交易以及多地址合并交易等等，某些方案又不适合这种场景，比如说早期pro就不适合这样的场景，所以我们叠加了Q系列，通过叠加蓝牙等方式，对多笔交易进行合并签名并发送，这就需要我们对硬件进行不同场景的变化。

②硬件底层核心的东西非常重要的。比如说加密芯片、追溯技术的发射器，以及我们做方案的时候能不能分离设计的理念等等。

③更多的问题反而是钱包方面，像币种的支持、节点服务器的稳定，我们还会遇到硬件方面的固件迭代升级。因为考虑到对固件进行篡改包括供应链攻击等层面，你又要防止篡改的发生，但是固件不能升级迭代的时候，又面临币种支持，包括各种出现BUG修复的问题。在私钥的生成环节，肯定需要硬件追溯技术的发射器，这是基础。如果没有这个前提的情况下，可以考虑用早期的摄像头的造点摄取像素点，来完善随机值。另外在私钥的密语的存储和使用环节一定是冷的，这是绝对要做到的。包括加密芯片的使用等等，这都是我们遇到的一些问题。

4.代码开源的原因及好处

Blue：

10月24日，我们选择把imToken核心代码对社区进行开源。当时的考量有几个方面：

第一，安全的考量。开源安全还是闭源安全，从长远来看，我认为开源一定比闭源更加安全。毕竟一个人做开发，一个人做审计，比一万个帮你做开发、帮你做审计，肯定不安全。所以我认为开源对代码质量、对社区的标准的遵循、对整体的安全隐患上有更好的发现。

第二，从技术发展的角度来讲。从计算机世界到互联网，整体来讲都是开源共享的精神，来推动整个社会的发展。目前很多的公链、很多的智能合约、很多的项目、很多的DAPP都会选择开源的方式，这样就更有利于我们和前面的钱包方、和整个社区建立一个更好的技术标准，我们把我们的代码开源出来，大家看一下我们的代码实现上是否有问题，对社区的支持、标准的推动上是否带来更好的益处。

第三，开源能够提供比较好的合作方式。我们现在是多链钱包，支持3条链：比特币、以太坊、EOS。但如果你要支持更多的公链，就要投入更多的开发力量。毕竟我们公司的开发力量都有限，都是拼命加班，为什么？因为团队的力量还是比较小。如果我们想支持更多的公链，我们把代码开源出来，我们和更多的公链一起进行开发上的协作，这是更好的一种方式。

开源之后带来的好处，我认为好处很多。10月24日开源当天，我们是GitHub热门项目里面排名前十，所以开源对整体的关注度来讲，对imToken关注度来讲，都带来非常好的作用。对用户来讲，自己的钱包是安全的。其实海外很多技术大V或者区块链知名的人会提到，如果你都不开源，你怎么确定你是去中心化的？你怎么确定你的代码里面是否做了和你说的不一样的东西。所以我们选择开源，是对用户更好的承诺。

5.区块链的安全现状

Blue：2018年4月份的时候，还处在一个比较好的区块链的发展的时候，那时候是牛市。因为交易所的问题、很多币因为越权的问题，导致项目方归零。这时候，当你发现如果一个区块链没有做好安全，它的价值就是0和1的考量。在那个时候，很多项目方或者很多的公链甚至很多交易所都没有重视安全，都没有更好地跟合作伙伴、安全的厂商合作。所以我认为当时的区块链是裸奔的状态，处在比较危险的程度。

7个月过后，现在来讲不算裸奔，应该算穿上裤衩。为什么呢？因为整体从交易所被黑被盗到智能合约被攻击，到现在EOS现在很多的合约仍然被攻击，但比较好的现象是更多智能合约上交易所的时候，都会选择和安全的厂商合作，需要有审计。我们内部有DAPP浏览器，如下这样DAPP上imToken，我们会尽职尽责帮用户做相关的审计工作。

胡园泉：合约方面今年爆发很大的安全事件，包括EOS生态、以太坊生态。我很担心明年在钱包领域可能会发生安全事件，因为之前没有发生过特别大的事件。随着资产的不断累计，它的诱饵越来越香，会带来越来越多的攻击。而且以前的钱包，以前很多以前的DAPP项目，整体的资金量并不是很大，钱包很多都是去中心化，都是在链上进行操作，私钥都是用户自己进行保管，所以当时用户丢的可能比较多。但是到了明年，可能会发生比较大的钱包服务商或者是平台被攻击的事件。

高子扬：我大家今天也可以发现其实有很多新的安全公司入场，包括传统的360也在做安全的事情，所以其实大家对安全非常关注。我觉得安全是很长久的话题，一天两天也难以解决，我们也希望大家重视安全，提前预防。特别是智能合约，包括现在EOS，DAPP出现很多问题，很多也是合约方面的问题，他们很多人都在自己的合约里面开了后门，所以问题比较大。

祝雪娇：从2016年、2017年智能合约流行以后，很多Token发现智能合约当中有很多漏洞。之前很多项目方讲了很牛逼的故事，但其实在很多地方做得很差也很恐怖。我们之前谈安全一般会谈交易所的安全，就是交易所是否有漏洞、交易所的墙是否安全。但交易所会做冷热储藏、储备金的风控措施，所以交易所的安全如果做得好是可控的。但现在还有两大潜在的安全还没有暴露， 一是做超级节点的公链，它的风险是很高的 。超级节点的很多节点要管理私钥，节点本身也是服务器，如果服务器被黑，整个链上的很多安全将面临极大的挑战。

第二，现在有很多去中心化交易所可以把以太坊、比特币或者EOS通过一种方式转到他们的链上，做转化、充值的过程。在这个过程当中，他们的节点或者智能合约也是由私钥管理，节点上也在保存这些东西。 如果一旦他们的服务器被攻破，整个去中心化的交易所也是非常不安全。 说到这一点，像现在很多DAPP已经存储了很多币，他们也面临很多的风险，但是这一块没有暴露，但是我认为会发生一两起重大事件，对行业的影响很大。