【区块链早餐会第二十六期】如何防范区块链安全风险

原创
2276 天前
15283
火讯财经

区块链早餐会:由金融科技大佬易欢欢、中关村区块链产业联盟理事长元道、北大金融校友会副会长宋宇海、火币首席战略官蔡凯龙、Cyber Capital 合伙人武绍卿、DFUND合伙人李泉、LITEX创始人王硕斌联合发起,由“绿色区块链社群”主办,聚集了区块链、互联网、金融科技等领域的行业精英、投资人、媒体人及近两百家上市公司董事长及CEO,共同探讨区块链如何服务国家战略和实体经济,推动区块链行业升级换挡,让更多有影响力的企业和更大规模的长效资金进入到行业中来。

本期嘉宾: 刘鹏,Armors Labs研究院院长,区块链安全研究专家、资深架构师、资深IT技术培训师。Armors Labs是全球顶级的区块链安全实验室,从智能合约全生态平台延展到整体区块链安全,致力于打造一整套完整的智能合约防御、监测、故障阻断及升级体系,提供开源的智能合约引擎。团队成员毕业于伯克利、卡内基梅隆、清华等院校并有谷歌、百度、360等互联网公司从业经验。

目前,区块链在智能合约、证券交易、电子商务、物联网、社交通讯、文件存储、存在性证明、身份验证等领域有着广泛的潜在应用前景,区块链技术让交易数据变得公开透明,但同时安全性也面临诸多挑战。

刘鹏认为,任何强大的安全机制都不是绝对的。区块链虽然在数据不可伪造篡改方面堪称安全,但不能完全杜绝泄密、盗窃、欺诈、数据隐私泄漏等问题。

比如,比特币在私钥、公钥及地址的相关运算中,用到了基于secp256k1椭圆曲线乘法的签名算法、SHA-256、RIPEMD-160,和Base58编码等,这一系列的算法在目前看来十分安全。但是,若以上任何一个环节被攻破,整个体系就会面临崩溃。因为,以往中心化的系统可以在短时间内升级改变算法,但在去中心化的网络,想要升级一次,难度极高。同时,数次数字货币交易所被盗事件也说明了现在的数字货币交易环境还远谈不上安全。无论是开发者、交易平台,还是持有数字货币的投资者,都需要提高安全意识与安全措施。

随着数字货币的价格持续走高,攻击者将能够谋求“暴利”,加之此类攻击难以追踪,相比“物理犯罪”更容易隐藏身份,恶意攻击者也更倾向于使用这种攻击方式,从而获取经济利益。

EOS狼人杀的事情发生以后,各个机构都在尝试能否找到背后的作恶者,但是直到今天,我们也无法确定到底是谁拿走了本该属于投资者的部分收益。360公司Vulcan(伏尔甘)团队发现了区块链平台EOS的一系列高危安全漏洞,经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。360官方团队发布的消息用“史诗级“描述了该漏洞,并称“足以轰瘫整个数字货币体系”,“可完全控制虚拟货币交易”。

也就是说,如果公链出了问题,所有的数字货币都不再是你的,都会被恶意操控,从而造成损失。但是从目前来看,由于纯粹的公链漏洞导致的损失比较少见,更多的问题最终还是出在智能合约上,所以目前来看主流公链还是值得信任的。

因此,刘鹏认为,对于投资者来说,应从钱包、智能合约、交易所三个主要方面来提高自己的安全意识。

对于钱包的安全管理,应围绕防盗、防丢两点展开。防盗方面应做到防止私钥泄露, 以及大额资产分散存储。助记词作为钱包私钥的友好格式,是非常方便大家做备份和导入的,由于它的明文性,不应以电子方式保存,而是抄写在物理介质上保管好。而 keystore 可以放在线上存储, 比如云盘等, 也可以存储在自己的 U 盘里, 这比线上存储相对安全一些, 即使黑客盗取了你的 keystore, 在没有该 keystore 的密码情况下, 还是无法盗取其中资产, 因此, keystore 的密码显得尤为重要。建议投资者将 keystore 和 密码分开存储, 不要放在同一地方, 并且使用高强度、随机生成的密码。而防丢的策略则主要是多重备份, 多次备份。多重备份指的是在备份一个钱包的时,不光备份 keystore, 也要备份助记词和私钥。多次备份则是指将keystore 存储在多个地方, 这样即使一处丢失, 也可以再其他渠道找到该钱包。

智能合约的漏洞会直接影响投资者的利益,因此,投资者在投资的时候应注意:1.智能合约是不是开源合约,不开源的合约对于未知的风险缺乏预估;2.智能合约是不是经过权威安全公司的审计,经过审计的智能才具有一定的安全性;3.智能合约的项目方是不是实际存在的,避免投资的是空气币。

近期交易所丢币事件频发,暴露出了交易平台诸多的安全隐患,为了能够选择一个安全靠谱的交易所,投资者应从几个方面来考虑:1. 了解一家交易所的基本信息,如果无法在公开渠道查询到总部、CEO、雇员等基本信息,那可能意味着这家交易所不想对公众公开其经营活动,这种情况下,可直接将其排除。2. 了解一家交易所是否遭受过黑客攻击非常重要,并且还要熟知这家交易所如果遭遇黑客攻击,是否有完善的预警或应急方案。如果数字货币被盗,交易所是否会负责赔偿投资者损失、赔偿时间是多久、事后是否会采取措施提升网络安全等。3. 一家靠谱的交易所至少应该为其用户/投资者提供双重登录认证,PGP加密电子邮件沟通以及电子邮件或短信提醒等服务。交易所应将大多数的用户资金以线下储存的形式进行保存,与线上隔离开来。4.看一家交易所的信誉如何,主要就是看其行业口碑,可从客户投诉、问题反馈、同行打听评价等方面来判断。如果一家交易所经常受到投资者的投诉,或者经常被指责服务器中断,再或者遭遇网络攻击后对用户不负责等,那选择时就得三思了,这些负面因素都会拉低其信誉。

绿色区块链社群:聚集了业内数千名从业者及专家顾问。率先提出“绿色区块链”理念,推动与实践绿色区块链、产业区块链,落实绿色经济、绿色金融、绿色信用体系。绿色区块链相比以挖矿为代表的传统高能耗区块链,倡导和实践绿色环保理念,是全球第一个贡献绿色资产的区块链生态系统。