【链得得“日常吐槽”】慢雾科技余弦:唯有打破“信息孤岛”,世界级区块链安防体系才能建立

2167 天前
1066

链得得App注:链得得《无眠吐槽大会》是一档聚焦区块链领域的高质量吐槽节目。每一期将针对区块链领域较为热门的项目/话题/现象,邀请项目负责人/话题当事人做客现场,和社群用户进行有理有据、交锋激烈的高质量辩论,理性吐槽、科学互怼。

链得得旨在通过专业高质量的吐槽辩论,打造去中心化的项目评估平台,直面谎言和泡沫,为行业正本清源。同时,让主角和创造者回归给用户,让每个用户真正参与价值创造,传递知识,在“吐槽”中学习成长。

共识生于质疑、盛于理解,链得得喊你来吐槽!

区块链的出现,或许是人类社会上第一次使得资产离所有人如此之近,对于潜伏在地下的黑客来说,自然不会放过这个机会。慢雾科技联合创始人余弦曾说“懂得攻防技巧和路径之后,才能知道如何从容去对抗。”

12月21日晚8点,慢雾科技联合创始人余弦及其团队做客链得得《无眠吐槽大会》,接受500位吐槽师的提问与质疑,链得得App特别整理编辑了链得得“吐槽大会”之吐槽实录。

对话嘉宾 丨余弦:慢雾科技联合创始人

主持人丨马文佩:链得得金融记者

主持人--大文:Hi,大家好,我是链得得“大文观链”的主笔大文,今晚的吐槽大会将由我来主持,请大家多多关照~

余弦:大家好,我是慢雾科技联合创始人余弦。欢迎各位的提问,关于整个区块链生态的安全,我们一定知无不言。

主持人--大文:根据链得得统计,仅在EOS上,过去的半年里就发生了近三十起DAPP安全事件,损失近40万EOS,价值1000万人民币。而这种安全事件有愈演愈烈之势,黑客的攻击手段也在不断演进,并且越来越复杂。公有链,尤其是智能合约的安全问题愈演愈烈,同时也带动了一批区块链安全企业的出现。今天的嘉宾就是来自慢雾科技的余弦,他将和我们聊聊区块链、DApp、智能合约的安全现状和解决方案。

主持人--大文:1、 余弦,我有个问题想先问你一下,你如何看待最近火爆的博彩DApp?博彩DApp总体安全水平如何?

余弦:这个问题挺好的,我们的看法是博彩这些DAPP的出现证明大家拿公链作为一种赌博,还是比较强烈的,另外一个方面也能看到不少落地的,确实这些DAPP我们可以认为是一种落地的方式。

至于安全这方面,我们的感知之前有做过一个统计,EOS看这条链,他的主网上线到现在基本上平均一周会有1.5个DAPP,被攻击被黑掉,当然这已经是公开的,还有很多未知的,至少可以感知应该有每周在两三个,可能有被攻击或者直接被黑掉,导致DAPP关闭,总体来看因为都处于非常早期的阶段,这些DAPP的安全水平其实参差不齐。

但是我们有做另外一种分析,给大家换另外一个角度来看。虽然说参差不齐,但不代表所有的DAPP都有被攻击,实际上也确实能有看到,一直可能不会出现那种被披露,或者被曝光,或者很严重攻击存在的这些DAPP,当然有可能是因为他们关注量小,当然也有可能因为他们之前安全架构阶段,或者他们之后遇到的新威胁,他们应急响应速度可能很快,不断的去进化去加固,因为大家也都知道,像EOS上这些DAPP,这些合约方式项目方是可以直接更新的,他和以太坊这些合约的感觉是非常不一样的。回答完毕~

主持人--大文:2、我们也知道,ETH作为区块链2.0的开端,智能合约是重要的原因之一。但智能合约很难做到无懈可击,因此也成为了黑客攻击的对象。目前常用的解决方案是采用更严格的代码审计和形式化验证。是否存在更好、更安全的解决方式?

余弦:确实是会有更好更安全的解决方式的,比如说以太坊上这些合约开发者,他们应该去看整个社区也已经有出现比较优质的库,比如说像“DApp”,“DApp”里出现很多优秀的这些模块,比如说发行这些token,token相关的一些相关的权限控制,甚至还有很完备的升级模型,这些都是很成熟的方案,而且也经过非常知名的这些安全团队,可能不是一个,是多个的安全审计,包括像我们自己也会去用这东西,但是我们可以发现,其实有很多的被攻击的项目方,他们可能对这个不是很了解,如果了解之后,应该来说是可以有一个很好的提高的。

我们会有一个建议,就是这些合约,尤其是以太坊上的,现在在我们审计非常多的这些项目方,我们会把它归为两大类,一个是token类的,它很简单,另外一个是DAPP类的,它可能很复杂,我们建议token类的直接调用成熟的这些库,比如说像“DApp”这些模板拟发行一个token,其实安全性已经非常高了,除非出现位置的攻击,这是任何人都没法杜绝的。另外一个是DAPP类的,在合约的代码层面上可能没有什么问题,但是由于DAPP它已经不仅仅是合约了,它还能包括业务层上的一些调用,比如说有web界面,有安卓客户端和IOS客户端,这块的整体安全也是需要注意大家可以看一下我发进来的这个图,这个图是我们在以太坊跟EOS这两大公链,他们的这些DAPP,它的整个安全攻防的点还有面,可以看到分为两大块,一个是链下的攻防,还有一个是链上的公方,当然包括右边可能会出现一些节点上的问题,或者矿工做等问题,在左边的这块会看到风控策略,链上链下都需要有。整个安全是一个非常整体的,如果你只是一个token合约的,因为很简单可能没有链下攻防,但是如果你是个DAPP,这张图里基本上方方面面可能都应该去照顾到,这个单靠合约的一个代码审计还是远远不够的,他是涉及到一个很复杂的整个攻防体系,我们需要有一个安全体系性的来保障这样的安全。

主持人--大文:3、智能合约的安全问题集中在哪些领域?作为一般用户,如何判断智能合约是否安全?

余弦:智能合约的安全问题,可以看我上面发的那个图,基本上总结的还算大体上是比较全面了,当然有很多更多的细节,这里也不好去展开。对于一个普通用户来说,他怎么判断,这个在我们看来,其实普通用户当然不会像技术人员或者安全人员可能有那么深的这些分析,比如说他可能可以通过判断他是否有第三方安全机构,类似于像慢雾这样的团队,有给他们做过安全审计或者是安全相关的一些服务,还有一种一些小细节,也可以提供给大家作为参考,比如说有一个项目方,你看他的官网,如果这个官网没有HTTPS,这样一个安全证书的话,比如说他只是HTTP。

他只是HTTP的这个情况,你可以认为这个关防对安全其实没有一个很整体的概念,你还可以去试用他的这些服务,甚至稍微懂一点浏览器调试技巧的,比如说可以在Windows可以按F12,打开浏览器的控制端,看他的请求流量,看看有没有HTTPS和HTTP混合的这个请求,从这些小细节上就能够看得出一个项目方他整个安全体系的建设规划,整个安全架构的思考上,他有没有把这些细节给做好,这个非常之关键,包括有时候你可能下载一个安卓或者一个IOS的App,你也可以感知到安全港,比如关于私钥的存储的保护。

另外还有一个点也很简单,就是很多项目方它说我的安全比如说非常的顶级、非常的厉害、完美,100%安全,或者说我通过什么所谓的白宫级的安全检测,走宙斯的,这些都是不懂安全的项目方喜欢在PR上去做这样的一个安全港,但是这个实际上是非常没有意义的,也是非常没有,就是过于,让稍微懂得的这些用户可能一看会觉得,这个项目方其实挺搞笑的,他不懂安全。还有一个看他们的原码有没有开放,他说得非常地好,但是你原码好歹开放出来,源码跟链上是否一致,对吧,也应该让用户能够感知这个东西。

主持人--大文:3-1关于第三个问题我想补充一下,那么是不是说明用户还是需要一定的基础知识才能够判断智能合约的安全程度?如果没有这些基础知识就最好不要轻易使用智能合约?

余弦:我们是这样的一个建议,一定要使用智能合约或者这些DAPP,建议你使用的那个帐号,你的资产可以少一些,不要把重要的这些大额资产就是往这里面去放,这是一个隔离比较好的一个建议。另外一个其实用户也不一定说一定要有相关的技术基础,刚才我前面有提到了,比如说项目方有没有通过第三方的安全审计或者是相关的一些合作,他的源码是否开放,他的网站是否有HTPS,其实用户一眼都是可以看到的,这些点都是判断的维度,其他就是靠一些口碑了,比如说我们可以看到这东西,都是存在大量的竞争的,越优质的肯定口碑越好。

大家可以看看这个 https://www.slowmist.com/service-smart-contract-security-audit.html 比如我们审计过的,这里都可以查询到。

主持人--大文:4、近期EOS的DApp再次遇到了大规模黑客攻击事件,并且让黑客得手了,开发者似乎一点反应也没有,最后都看到一个被盗的结果,对于安全公司而言,使命究竟是什么?究竟能否做到提前防控预测?

余弦:其实有些项目方的开发者还是挺厉害的,他们会有及时的察觉,他们也有一些风险控制或风险预警的策略,这个是我们在合作的项目方里面能够看到的,当然这个都算比较优质的了。对于安全公司使命,比如说像慢雾,我们公司的使命是希望给区块链这个行业带来安全感,我们特别强调“安全感”这三个字,就是不要去做恐吓,不要自己去作恶,其实很多人会觉得像我们做安全的,可能也具备这些所谓的网络超能力吧,觉得我们可能会去做。但是我们觉得这东西还是得有底线的,需要有一些准则。

提前的防控预测其实是可以做到的,这个就是我前面会有提到整个安全体系,你如何去看到一个项目方他在安全上有没有一个体系性的规划,比如说在开发之前,安全架构的时候,你会选择一些比较成熟的安全模块,你可以直接调用,你可以借鉴参考可能公布的一些安全实现,这些都有很多大量的资料,包括我们慢雾本身也有公布一些相关的研究资料,可能在你主网上链之前,就是你上主网之前,你在测试网上就要做相关的黑盒测试、白盒测试,其实很多时候,相关的项目方技术人员自己都可以测的,比如说一些畸形数据,比如在你的预期内预期外的一些畸形的测试,这些都应该去做的。

接着在主网,上线到主网之后,这个时候可能会有一些风控上的策略,比如说这些合约里面的资金,如果出现大额的变动,他应该有一个风控措施,他要有一个预警出来,但是这些点对于可能目前来说,在整个生态的早期,对于很多项目方他们是没有一个安全体系的规划,他们可能就很难去做这个事情,对于有安全规划,安全体系规划的项目方他们就会去把我刚才前面有提到的上线之前,上了测试网,上了主网之后,等等这些安全策略都给加进去,这是可以做得到的。

https://firewallx.io,https://github.com/slowmist/eos-smart-contract-security-best-practices。大家可以看一下,我发出来的这两个链接,他都是跟EOS合约、EOS DApp有关系的,一个是刚刚昨天我们正式对外开放了这样一个防火墙,就是合约的防火墙,另外一个第二个链接就是相关的一些安全实践,其实这些都是我们开放出来的,包括一些源码我们都是开放出来,我们还是很建议一些项目方哪怕他可能不会说直接去使用它,但是有一些我们可能已经总结出来的一些坑,一些建议,对于项目方的技术人员,他们实际上是可以直接参考的,这样的话可以避免很大未来可能会出现的一些问题。

主持人--大文:4.1、目前EOS公链上博彩类游戏基本占据了全网流量,这是否是一件好的事情?毕竟这是一条面向全行业的公链系统。

余弦: 怎么说呢?这其实很纠结。从整个主网被关注,它的这些发展的一些挑战,比如说它的TPS,他每次的升级,这当然从这个角度来看,它是一个促进,但是如果未来还是这样的话,我们会觉得还是远远不够的,可能会被一些人定性为比如说这条公链他是一个博彩公链,对于整个的生态,大家的这些想象空间都会受到限制,其实我们会觉得,未来应该还有更多的这些想象力很高的或者说实际上有帮助的一些DApp应该出现的。

简单来说,从长远来看,当前现在出现这样一个现象,他对于长远的进化来看,它会是一个好事。但是我们不能够去逃避或者说否认当前这样一个现象如果他变成长远的都是这样的一个现象的话,他其实是一个比较畸形的生态,这会让很多人,让很多想做事的一些人,可能会出现一种心理上的打击。但是我们觉得未来还是会有所改善的,对未来的期望其实我们从这些,无论是我们接触的一些项目方还是一些我们研究的技术,我们觉得整个未来还是充满了期望。

主持人--大文:4-2、EOS能从ETH的Fomo3D游戏中借鉴哪些经验或者吸取哪些教训?在这一波安全事件过后,会不会像ETH一样归于沉寂?

余弦:我们觉得倒不是EOS要吸取什么借鉴什么经验,这些东西大家都是跟老大哥学习的,所谓的老大哥就是大家应该去看看在所谓的公链或者去中心化的区块链这个之外,其实这些博奕类的游戏,其实太多了,他们都在借鉴传统。我觉得这个应该是要给广大玩家的一个劝告,就是不要沉迷这些带有博弈类的游戏。

其实ETH也一样没有归于沉寂,我们还是有看到以太坊开发者大会及各种创新的出现,比如提高TPS的算法,甚至追求更加隐私的域名,然后还有一些创新的DApp,不是说只有这些竞技类的才代表一个公链的现象,即使被攻击,我们也不会觉得这个会对一个公链带来多大的影响,因为整个社区他的共识已经不仅仅是代码的共识了。

整个社区的共识它不仅是代码的共识,它也是每一个人,我说每一个很核心的这些利益方的一个利益上的共识,大家都想着去发展这东西,当然如果对这条链在这些技术上,在未来的一些想象空间上并没有任何的这些感知,或者感觉的人来说,他们当然是把这些公链当成是一个博奕类的,有点像在用户不是很多的时候,或者增加用户不是很多的时候,他有点像零和游戏,要么你输要么我赢,攻击者也是一方,项目方可能在收割这些玩家,攻击者可能在收割项目方,他是一个很大型的零和游戏。

即使各种安全事件让大家觉得这些公链没安全感,但还是能看到整个公链世界在进化。尤其是在EOS,过去大半年,一套主网开始要启动,到现在半年差不多。半年多的时间,跟其他的公链相比,还是非常的早期,而其他公链在早期也出现过一堆的问题,包括大家熟知的比特币。

这里我给大家分享一个比较有意思的思考:大家应该都会发现群里大概500个玩家或用户,实际上我可以肯定,进群很久的其实非常少,很多可能都是在去年或今年才进来的。

那么实际上会有很多的声音可能会把去年可能认为是整个公链世界正式从极客这个群体进入到公众这个群体的一个非常关键的一年,大家可能觉得这是一个元年,如果把这个当成是一个元年的话,我们的感知也发现,比如说像我们张总专门做安全的,我们当时进入这个行业,我们说我们是一个安全正规军终于进来了,但是我们也看到很多的攻击者,正规军,他们也进来了,这个进来时间点可能就是去年底今年初大概这样一个时间段。

大家可以认为去年到今年这一年多的时间,是所谓公链正式进入到真实战场的时期。而之前比如比特币主网启动之前的七八年时间,可能都处在一种比较极客的群体或者实验的这样一个环境,而后才为大家所知。过去这一年多大家可以感知到真正的战场才开始,所有公链的起跑线可能都差不多。

回头看EOS也就半年多,比特币有一年多,以太坊一年多,就进入我刚才所说的正式战场,所有一切都还非常的早期。除了看到各种攻击事件、各种不安全感,这个生态也很缺乏安全感,这也是为什么我们的使命是要给这个生态带来安全感。现在还非常早期,大家应该整个把眼光看得更加长远一些,现在很多都是一些博奕竞技类的游戏,更长远的话还是有很多想象空间的。

主持人--大文:5、对于开发者来说,如何发现和避免方案智能合约可能的安全隐患?如何对抗这些“正规军”?

余弦:开发者如何避免,我前面已经有不少回答了,这里就不重复了。如何对抗这些地下黑客吧,就是这些正规军,其实我前面也回答了,这里好像也没必要再多展开。我可以说点其他的吧,这些地下的正规军,我觉得还是需要保持一种敬畏吧,我经常会给我们的一些项目方朋友会去说,当你们在加班加点,你们在开发这些项目的时候,实际上这些地下的正规军他们的职业就是不断的盯着你,一旦出问题,他们不择手段,不留任何的情感,对于他们来说,甚至“Code  is  law”是他们的一个行动准则,代码即法律嘛,对吧。

我靠我的这个代码实力我拿到了这个币,既然“Code  is  law”,你凭什么说我是有问题的,就这样的一个想法,好像挺有道理,但是实际上也可以看到,整个生态就在这方面其实挺畸形的,这个我是觉得应该充满一种敬畏,就是你可能觉得你的技术实力似乎非常强。但是一定要相信,术业有专攻。

主持人--大文:6、区块链安全市场是红海吗?在熊市的背景下,安全市场是否会继续增长?您认为区块链安全的挑战和机会究竟在哪?

余弦:整个公链一年多才正式进入战场,安全紧随其后。对我们来说,现在区块链安全甚至整个战场都是一片大蓝海。对于慢雾,熊市会有一些影响但整体还好。值得我们思考的是,熊市真正的冰点可能才刚开始,如果这个长尾效应拖一两年,真的会有很多项目方撑不住,这个战场自然也就萎缩甚至消失,做安全也就没什么意义了。这是慢雾在创建之初就思考的问题,我们也做了相应准备。不仅是资金上的准备,还包括精神上的准备,虽然我们觉得未来一两年熊市持续,但内心还是充满了一种期待。

今年众多博奕DApp,以及层出不穷攻击事件出现,给整个行业带来了一种假象,似乎区块链好像只能搞这些,其实并不是的,我们觉得未来可能在隐私自由、身份、支付结算、非竞技类DApp,还有很大的发展空间。我们一直都说我们是做安全,实际上我们还可以去做隐私,隐私这个市场比安全还要大更多。

主持人--大文:7、“专注区块链生态安全”是慢雾的slogan,但是现在在做区块链安全行业的企业很多,慢雾的优势在哪?

余弦:团队在安全服务方面的能力,服务意识,以及安全开发实力,往往会给我带来很大的惊喜,包括一些配合、心态、创造力等等。我们一直不是很想去做竞争这样的动作,跟慢雾整个格调有关系。我们的名字一个慢,我们是比较在意我们这样一个节奏的,就是我们觉得很多时候现在是一个很大的蓝海,应该比较稳、比较慢地去把关键基础设施打造好,不断在安全开发上沉淀。

没什么优势不优势,我们会看得比较远,前面提到慢雾慢雾创建之初就已做好熊市的准备,并且对整个公链发展历史及未来都有自己的构思。我们觉得现在一切才刚开始,也建议所有人都不用去着急,这一年多大家也看到各种乱象,比如像去年的ICO,今年的各种公链之争、竞技类DApp、各种攻击事件,好像所有的正规军都进来了,大家都在很努力的发展,未来呢?明年会怎么样,后年会怎么样,五年之后怎么样,十年之后怎么样?我们可能会储备一定比例的人员精力,包括资金,可能会放在我前面说的构建基础设施上,这个才是未来更加关键的点,而不是当下的一城一池。

链得得怼友(D调):8、想问下余老板“慢雾科技”现有的盈利模式是怎样的?对于围绕慢雾科技的生态建设蓝图是怎样规划的?您认为现在、以后“慢雾科技”在生态建设的难点或者突破点在那些方面?

余弦:慢雾的盈利模式也不是什么秘密,就是典型做B端这些企业用户,给他们做安全审计或者是安全顾问,包括我们的威胁情报这块可能收费,这也是之后我们可能会非常投入的部分。我们内部给它的代号叫BTI,B就是blockchain,TI就是威胁情报的缩写,BTI这个体系包括链下、链上治理相关能力和情报整合,我觉得这块是未来比较系统级的产品。

我们做这些储备很大原因在于,我们服务的一些头部交易所,公链,包括DApp合约,以及一些新兴团队都在努力发展。但很多时候,各家可能形成一个安全孤岛,比如一家被攻击了其他家根本不知道,攻击者实际上是可以拿同样的手法去攻击其他家的。

我们做的非常大的一个蓝图就是BTI(区块链威胁情报),我们希望把这种孤岛这样的瓶颈打通,构建一个联动防御,比如说一家被攻击了,我们可以拿到这样一个脱敏之后的威胁情报,迅速同步给我们服务的其他家,这些同步很多时候我们可以构建相关的自动化系统,比如链下链上的一些治理。

 大家通过我们孵化的一个小产品区块链FireWall.X就可以看到,我们致力于打通这样一个孤岛。它非常值得我们去投入巨大的精力,并且是非常大的挑战,当然也是非常大的难点。如果我们能够逐渐把现在服务的客户,及未来新的项目方甚至全球范围内海外的一些这些项目方都给突破,整个威胁情报体系能够构建得更加完善,这是我们的发展蓝图。

链得得怼友(hai_ge):9、余弦大大,看到最近你们发布了一款EOS智能合约防火墙FireWall.X ,是否可以简单介绍下这款防火墙呢?对于EOS合约开发者而言,你觉得这款防火墙对他们最大的帮助是什么?

余弦:这个问题交给我的同事--慢雾区负责人。

慢雾区负责人:我们知道最近发生的很多EOSDApp的攻击,都是通过智能合约来实现的,因为要利用这种自动化的攻击,单纯靠手工是很难完成的,所以我们去观察这些攻击然后总结出一个问题,如果从合约这个层面去阻断所有智能合约的调用或者一个攻击者攻击完之后其他合约也及时的去防御的话就能在一定程度上去减少损失。

所以我们Firewall.X的一个主要功能功能就是,可以去配置,去阻断所有EOS智能合约这样一个帐户。因为正常来说,帐户不会去部署智能合约,就是普通的用户。第二个功能可以根据项目方自己的这个需求,去添加自定义黑白名单,管理来自调用的来源。

我们还会对防御记录进行数据分析,这样的话揭露DApp项目方可以去回顾历史或者查看他防御的趋势是怎样的。

通过我们自己本地模拟和测试网的测试,在DApp本身的合约代码没有问题及逻辑缺陷的情况下,使用了合约防火墙之后,绝大部分的攻击都是可以进行阻断的,可以免疫这个攻击者的攻击;此外我们还有一个特性,攻击者进来攻击,转入这样的EOS之后,我们并不会把这笔交易给他reward掉,也就是说并不会回访,这样带来另外一个特性就是可以把攻击者的下注资金锁定在自己项目方的合约帐户里面。

链得得怼友(江江):10、一直以来安全领域都是给B端做服务,如何让C端用户从安全公司获益,或者获取更多正确知识。有考虑过开课之类的形式吗?

余弦:其实开课我们可能不是很擅长,不是说我们经验不足,而是现在团队的基因在这方面还不是很充足具备。但是我们有一些尝试,我们在知识星球上开了“慢雾区”,现在应该是17000多用户,我们在慢雾区发布不少安全预警、相关知识,但这些知识可能对于大众来说,确实还有些门槛,我们还做了另外一个产品叫EOS天眼,天眼这个可以让用户查看这个EOS的DApp,查看他链上的合约跟他开源的是否一致,包括他的一些权限变更等等。

因为大家都知道,其实很多项目方都不会把EOS合约权限交出来,也就是说他可以随时升级,普通用户又如何去感知呢?我们做了这个EOS天眼,就是想提供这样的一个帮助,但是好像整个覆盖面对于大众来说还是非常少,也许靠一些宣传吧,包括这次吐嘈大会,也是一种比较好的形式,就是可以让更多人知道这个东西。

 还有一个很关键的点,就是我们有跟海内外比较知名的钱包,无论是EOS生态还是以前以太坊生态,以及比特币生态的,形成这样安全上的合作。实际上我们会很关注这些钱包他本身的安全性,这些钱包的用户绝大多数都是C端用户,有可能大家用的这些钱包背后都有我们安全服务的身影,这个是我们间接能给C端用户带来安全感的体现,只是说我们往往是藏在背后的,毕竟我们是给B端做服务导向的这样一个公司。

链得得怼友(Carleszhang):11、imToken 等网络钱包是否真的安全,都有哪些可能碰到的安全问题?存币的话,最安全的储存方式是什么?

余弦:imtoken这些其实也都是我们的客户,我们给他们做过2.0版本钱包的审计,及相关威胁情报的服务。他们的安全性在我们看来,就已经是非常高了。站在我们的角度看待一家钱包、交易所之类的安全性,要去看他的安全体系,有一个很好的判断标准,他是否有安全负责人,比如说像CSO,首席安全感类似这样的角色;他是否有第三方知名的一些安全机构的合作,不仅是国内可能还有国外的;另外第三点,他是否有一些面向整个安全或者黑客社区的一些活动。比如说像漏洞闪晶之类的,就是按照漏洞效果付费,比如全球的黑客,或者这些安全人员他发现你的一个漏洞,你按照漏洞效果给他付费,是否有这些能够看出一家公司的整个安全体系。

但是想做好绝对的安全,其实非常的困难,我们只能说尽可能把安全的这个门槛提高,尤其是整个用户量基数非常大的时候,在概率同等比较微小的这个情况下,因为用户基数很大,也有可能各种千奇百怪的一些安全问题,对于这些用户来说,我们有个很好的建议就是你问题里面有说到存币的最安全的存储方式是什么。

这里我不过多的说,但是我给大家说一个很精确的点,比如说我们会觉得Iphone这台手机加上问题里提到的这个钱包,比如说imtoken,把它做好初始化之后然后断网,这个时候这台手机他有可能就是最安全的存储方式。

可能会有人问为什么是Iphone其实安卓可能有些机器也可以,但是安卓整个市场太碎片化了,有时候权限的控制不像Iphone整个安全体系,发展这么多年,大家可以实际感知,比如像Appstore,很多App想去上App  store整个审核过程都非常的麻烦,每个人都会很珍惜,因为他们觉得这是精品,都会很珍惜每一个发布,用户可能也会愿意去花很大的价钱去买iphone,远远不是说他的功能有多丰富,甚至在某些功能体验上没有安卓好用,但能让用户觉得他愿意花钱得到更为精品的服务。